Merhaba bu yazıda alışılmış SQLi saldırılarının (
Login bilgilerini alıp siteyi uçurmak gibi... ) aksine, SQLi barındıran sitenin URL adresini kendi lehimize göre nasıl manipule ederiz bu konuya değinicem.
"SQL Injection'ı buldun da fantezimi yapıyon ?" diye sorabilirsiniz...Örneğin;
facebookmarket.com gibi güzel, kaymak gibi bi' domain buldunuz tabi sitede SQLi açığı mevcut olmalı! Bu siteye çakarsam 1 taşla 1 kuş vurmuş olurum, ama az sonra anlatacaklarımı bu sitede uygularsam çalamayacağım facebook account'u kalmaz.Başlayalım;
Muhtemel Senaryolar :
[1] SQLi açığı bulunan bir hedef bulmalıyız.
[2] Hedefe HTML Form enjekte edebiliriz. (İdeal & Basit)
[3] Hedefe iFrame enjekte edebiliriz.
[4] Kurbanı açık bulunan site üzerinden kendi tuzak yönlendirebiliriz.
[5] XSS injection yapabiliriz.
Kendinize bir hedef bulduğunuzu varsayarak 1. adımı geçiyorum.
Merhaba, bu yazımda Python ile panel bulucu nasıl kodlanır onu göstermeye çalışıcam.Kullanımı gayet basit olacak. panel.txt içinde panel dizinleri var ve sırasıyla panel.txt 'den hedef siteye brute yapacak.Bu arada panel dizinlerini havij'den çektim; 375 satır dizin var.Php+Asp karışık tarıyor, istenirse kullanıcı tercihine göre asp/php ayrı taranabilir.Sizin daha iyisini yapacağınıza şüphem yok :) başlayalım...
