folder Tahribat.com Forumları
linefolder Hertürlü Web tabanlı Saldırı Taktik ve Stratejileri
linefolder Sql Açıktan Şifreleri Aldım Neden Giriş Yapamıyorum?



Sql Açıktan Şifreleri Aldım Neden Giriş Yapamıyorum?

  1. KısayolKısayol reportŞikayet pmÖzel Mesaj
    ironhazee
    ironhazee's avatar
    Kayıt Tarihi: 31/Mart/2008
    Erkek

    Adres

    http://www.findmeatech.com/phpDealerLocator/record.php?Dealer_ID=00000315

    3 DB var

    -findmeeat_d1

    -information_schema

    -findmeat_isearch

     

    information schemaya girdim . User_privileges bölümü vardı ama içinde bilgi yoktu

    findmeat_d1 databaseye baktım.Users kısmında 4 bölüm çıktı.user id, user name, user password ve user access.

    Hepsinin datasını aldım....

    Çıkanlar
    _______

    passwords : user names

    razmus*  : admin

    razmus* : allstarc

    razmus : admin

    razmus : allsta

    php-pro : paul

    sitenin login alanı http://www.findmeatech.com/phpDealerLocator/login/login.php

    ancak hiçbiri ile giriş yapamadım.Sorun nedir neden giriş yapamıyorum? Neden kull adı şifre hatalı diyor?

    information_schema ya detaylı bakmadım orda kul adı şifre olan yer göremedim...

     

    Not bu arada program kullanıyorum...

     

    Hata nerde beyler şifreler nerde bu buldum şifreler neyin nesi :)

     

     

    Reply With Quote Alıntı yap
  2. KısayolKısayol reportŞikayet pmÖzel Mesaj
    aLsanCaK
    aLsanCaK's avatar
    Kayıt Tarihi: 30/Kasım/2007
    Erkek
    http://www.findmeatech.com/phpDealerLocator/admin/ burdan girecen dayı
    Reply With Quote Alıntı yap
  3. KısayolKısayol reportŞikayet pmÖzel Mesaj
    unix
    Andrei
    Andrei's avatar
    Banlanmış Üye
    Kayıt Tarihi: 11/Aralık/2008
    Erkek

    hocam bi ara ver soluklan, actıgın her konu ayrı bir soru..

    o cektigin veriler sadece yöneticilerin bilgileri olabilir, haliyle oradaki login ekranı sadece user'ların girebilecegi bir bölümdür. vbulletinde de var bu olay, bazı sürümlerinde üyelerin login panelinden yönetici girisi yapamazsın, belki bu da aynı hesaptır.

    sitede baska bir giris aramaya calıs.. adam belki de fixledi, görünmesini istedigi yeri gösteriyor dısarıya (: hastayım biraz ugrasmak istemiyorum simdi, yapamazsan bi pm cakarsın bakarız bi ara..

    edit : al sana admin paneli.

    http://www.findmeatech.com/phpDealerLocator/admin/

    admin : razmus* 

    bunu dene.

    edit 2 : alsancak'ta vermis.

    %40 indirimli olarak "Centos Sistem ve Sunucu Yönetimi" adlı kitabımızı satın alarak, Linux üzerine yapılacak olan devam projeleri icin destekte bulunabilirsiniz : http://www.hepsiburada.com/centos-sistem-ve-sunucu-yonetimi-oku-izle-dinle-ogren-p-KKODLAB01579
    Reply With Quote Alıntı yap
  4. KısayolKısayol reportŞikayet pmÖzel Mesaj
    pcdoktor636
    pcdoktor636's avatar
    Kayıt Tarihi: 12/Ocak/2010
    Erkek
    sorun çözülmüş konuyu biraz saptırıyım. ne sitesi bu
    Reply With Quote Alıntı yap
  5. KısayolKısayol reportŞikayet pmÖzel Mesaj
    ironhazee
    ironhazee's avatar
    Kayıt Tarihi: 31/Mart/2008
    Erkek

    hocam sagol olayı çözdüm.ama admin girişi bulamamıştım.

    Admin girişi aratan 1-2 program var buldukları normal girişmiş.

    2 program kullanıyorum.Pangolin admin giişini taratıyor ama doğruyu bulamadı

    Dier program ise HAvij. O doğru girişi buldu önerdiğiniz admin girişi ni bulan program varmı? tşkler

    Hcam bu arada sen admin girişini nasıl hemen buuldun? :P

    Reply With Quote Alıntı yap
  6. KısayolKısayol reportŞikayet pmÖzel Mesaj
    unix
    Andrei
    Andrei's avatar
    Banlanmış Üye
    Kayıt Tarihi: 11/Aralık/2008
    Erkek
    ironhazee bunu yazdı:
    -----------------------------

    Hcam bu arada sen admin girişini nasıl hemen buuldun? :P


    -----------------------------

    yılların tecrübesi :P bu tür scriptlerde kendi taktigini dene, klasör isimlerine bak, mesela bunda /phpDealerLocator/ dan veriyor logini, demek ki büyük ihtimalle admin panelini de bu klasörden veriyor diye düsüneceksin burada. phpDealerLocator/admin/login.php denedim olmadı basta, 2-3 kombinasyon deneyince cıktı zaten..

    %40 indirimli olarak "Centos Sistem ve Sunucu Yönetimi" adlı kitabımızı satın alarak, Linux üzerine yapılacak olan devam projeleri icin destekte bulunabilirsiniz : http://www.hepsiburada.com/centos-sistem-ve-sunucu-yonetimi-oku-izle-dinle-ogren-p-KKODLAB01579
    Reply With Quote Alıntı yap
  7. KısayolKısayol reportŞikayet pmÖzel Mesaj
    aLsanCaK
    aLsanCaK's avatar
    Kayıt Tarihi: 30/Kasım/2007
    Erkek
    hayal gucumu kullandım :)
    edit: sql bıraktıysa bu adam admin panelinin yolu ya admin dir yada administrator dur coder turkse yonetim ve yonetici vs.. deneyebilirsin
    Reply With Quote Alıntı yap
  8. KısayolKısayol reportŞikayet pmÖzel Mesaj
    Buremba
    Buremba's avatar
    Kayıt Tarihi: 16/Haziran/2006
    Erkek

    sqlmap var 3 gün önce merak saldım ben de. python ile yazılmış ve baya stabil çalışıyor. normalde bu işlerle alakam yoktur ama biraz kurcaladım aklıma glen siteleri hürriyette xss açığı buldum, sızıntının db'yi komple indirdim (5mb içinde kullanıcı mesajları üye bilgileri ve geçen senenin internetten abone olan kullanıcıların bilgileri var). yabancı bi iki sitenin de db'yi indirdim. ben birşey yapmıyorum parametreleri veriyorum sqlmap köküne kadar arıyor. ha bir de oyuntak diye bir oyun sitesi vardıi, onun da db'ye girdim ama blind'le oluyor ancak, biraz kurcalarsanız daha çok sitede var.

    . . .. . ... .
    Reply With Quote Alıntı yap
  9. KısayolKısayol reportŞikayet pmÖzel Mesaj
    Twitter
    Twitter's avatar
    Kayıt Tarihi: 13/Ekim/2007
    Erkek

    bazen admin klasörü htacces ile şifrelenmiş olabiliyor . Başıma bikaç kez gelmişti 

    örneğin admin klasörü şifrelenmiş diyelim ve mysql injectionda bazen load_file fonksiyonu ile dosya okumak mümkündür 

    bu yöntem ile 

    www.site.com/x.php?parametre=1+AND+1=2+UNION+SELECT+1,2,3,load_file('admin_dizini/.htaccess'),4

    gibi yapılarak htacces okunup dizin şifresinide okuyabilirsin . 

    Part Time Engineer, Full Time Dreamer ..
    Reply With Quote Alıntı yap
  10. KısayolKısayol reportŞikayet pmÖzel Mesaj
    Gaara
    Gaara's avatar
    Kayıt Tarihi: 24/Eylül/2009
    Erkek

    Twitter bunu yazdı:
    -----------------------------

    bazen admin klasörü htacces ile şifrelenmiş olabiliyor . Başıma bikaç kez gelmişti 

    örneğin admin klasörü şifrelenmiş diyelim ve mysql injectionda bazen load_file fonksiyonu ile dosya okumak mümkündür 

    bu yöntem ile 

    www.site.com/x.php?parametre=1+AND+1=2+UNION+SELECT+1,2,3,load_file('admin_dizini/.htaccess'),4

    gibi yapılarak htacces okunup dizin şifresinide okuyabilirsin . 


    -----------------------------

    Hocam çok mantıklıda Admin panelini Buldumuzu nasıl anlıcazki admin dizini yazıcaz. aslında sole sitedeki Tüm Klasörleri gösterebilecek bişi olsa iyi olurda :D

     

    Bazen insanlara bakıyorum da hoşlanmaya değer birşey görmüyorum.Herkesten uzaklaşmayı sağlayacak kadar para kazanmak istiyorum.
    Reply With Quote Alıntı yap
  11. KısayolKısayol reportŞikayet pmÖzel Mesaj
    e2
    e2's avatar
    Kayıt Tarihi: 20/Haziran/2008
    Erkek

    Bu scriptin injection kodu ( yolu ) nedir ?

    Reply With Quote Alıntı yap
Toplam Hit: 3176 Toplam Mesaj: 13