Merhaba arkadaşlar uzun bir aradan sonra güzel bir video ile tekrar karşınızdayım :)SQL Injection'a yeni başladığım günden bu yana geçen sürede anladım ki bir siteye SQL Injection uygulamak gerçekten bir sanat ve çok zevkli bir iş :) Eğer içinizde biraz keşfetme ve hırs duygusu varsa çok büyük işler yapabilirsiniz...
Videoyu biraz açıklayacak olursam, online kitap satışı yapan bir siteyi hedef aldım...Açıkçası başta siteye shell sokmak aklımdan geçmedi, ilk önce mysql injection uygulayarak tüm adminlerin bilgilerini aldım tabi bunun yanında şansımın yaver gitmesiyle birçok e-mail hatta bir host+domain bile elime geçti :) Ama en küçük bir veri kaybına yada hesaba el koyma gibi birşey yapmadım.Benimkisi sadece yapabileceklerimi görme egosu galiba...
Aradan kısa bir zaman geçince aklıma birşey takıldı milw0rm'de "Rooting a linux box via MySQL Injection" adlı bir video izlemiştim çok ilgimi çeken bir videoydu videodaki yönteme ara ara göz gezdirdiğim SQL injection cheat sheet yazılarından aşinaydım...Ama herhangi bir siteye uygulamak açıkçası nasip olmamıştı :) Neden olmasın diyerek load_file() fonksiyonunu kullandım ve başarıyla çalıştı...Daha sonra önem taşıyan bazı site dosyalarını okudum...Ardından basit bir rfi açığı yaratarak işi bitirdim...Serverda yeni bir kernel kullandıkları için uygun local root exploiti bulamadım dolayısıyla root olamadım...Zaten 2 site barınıyordu işte onlar :P
http://www.zone-h.org/mirror/id/8776609
http://www.zone-h.org/mirror/id/8788915
- Videodaki Araçlar:
- Video Download:
Lütfen Kaynak Göstererek Kullanınız! /UsluBey
6 yorum :
HELE ŞÜKÜR BE NE DİYİM :@
aslanımm
Sağolasın, gerçekten benim için çok yararlı bir video oldu ve inanıyorum ki birçok kişi için yararlı olacaktır. ( Özellikle de benim gibi injection'a yeni başlayanlar için )
teşekkürler arkadaşlar... ^^
yav mu magic off veya on olduğunu nasıl anlıcaz ????
Sa kardeş
videonu izledim
Bu tarz açığı olan siteyi bulmak için dork umuz ne olmalı ?
Yorum Gönder
Yorumun denetlendikten sonra görüntülenecek...Teşekkürler!