İlgili siteye ne gibi saldırılar yapılabilir?

birgünaa

birgünaa

Yeni üye
3 Kas 2022
3
0
İnternet üzerinde kripto cüzdan crack sattıklarını söyleyen insanlar mevcut. 6 Blockchain vb. Ben bu programın demosuna ulaştıktan sonra exe dosyasını decompile ettim akabinde program.cs dosyasının içerisinde lisans anahtarını çektiği siteyi buldum. Acaba adamların sitesine SQL Enjeksiyon yapmak mümkün müdür? Veyahut neler yapılabilir?

SeedServer

24udt1o.seedserver.top 24udt1o.seedserver.top

Dosya içerisinde tanımlanması

public static string serverName = "SeedServer";
public static string checkRoute = "/api/check-activation.php";
public static string activateKey = "/api/activate-key.php";
public static string findSeedRoute = "/api/find-seed.php";

Kontrol etmesi

private static async Task<bool> checkActivation(string id)
{
try
{
WebRequest request = WebRequest.Create(serverName + checkRoute);
request.Method = "POST";
string data = "id=" + id + "&start=true";
byte[] byteArray = Encoding.UTF8.GetBytes(data);
request.ContentType = "application/x-www-form-urlencoded";
request.ContentLength = byteArray.Length;
using (Stream dataStream = request.GetRequestStream())
{

İsteyenler için tüm kaynak kodlarının bulunduğu zip dosyasını atabilirim
 
Tarihe göre sırala Oylara göre sırala
DarkS0LDIER

DarkS0LDIER

Deneyimli Moderatör
5 Ara 2019
1,763
407
Sydney
Sql acıgı varsa neden olmasın. Açıkları bulman lazım sql açığı bulmanın methotları vardı linkin sonuna tek tırnak koyup manuel bulabilirsin. Başka yöntemleri de var onları araştırman gerek ayrıca sql kesin sonuç vermeyebilir diğer zafiyet türlerine bak xss,vs.
 
Oyla 0 Downvote
Lihtg

Lihtg

Kıdemli Üye
15 Mar 2022
2,062
899
lihtgTHT.php
Çeşitli programlar ile zafiyet taramaları yapmanızı tavsiye ederim. Örneğine Nikto, burpsuite, nuclei yazılımlarını kullanabilirsiniz. Ayrıca aşağıdaki kategorimizdeki anlatımlar da işinize yarayacaktır. İyi forumlar.

Web & Server Güvenliği ve Zafiyetler

Doğru web ve veritabanı sunucusu güvenliği sağlanmadan, bilgisayar korsanları hassas verilerinize erişebilir. Web, Sunucu ve veritabanı güvenliğini defansif ve ofansif yönleri ile bu bölümdeki konularla öğrenebilirsiniz.
www.turkhackteam.org www.turkhackteam.org
 
Oyla 0 Downvote
yosabe06

yosabe06

Üye
19 Ağu 2016
87
42
Erbil
Programın cracklenmemesi için önemli işlerini server side yapmışlar.
Bu bir api görevi görüyor komut injection edebilir misin bilmiyorum ama adamların bunuda düşündüğüne yemin edebilirim.
 
Oyla 0 Downvote
birgünaa

birgünaa

Yeni üye
3 Kas 2022
3
0
Lihtg' Alıntı:
Çeşitli programlar ile zafiyet taramaları yapmanızı tavsiye ederim. Örneğine Nikto, burpsuite, nuclei yazılımlarını kullanabilirsiniz. Ayrıca aşağıdaki kategorimizdeki anlatımlar da işinize yarayacaktır. İyi forumlar.

Web & Server Güvenliği ve Zafiyetler

Doğru web ve veritabanı sunucusu güvenliği sağlanmadan, bilgisayar korsanları hassas verilerinize erişebilir. Web, Sunucu ve veritabanı güvenliğini defansif ve ofansif yönleri ile bu bölümdeki konularla öğrenebilirsiniz.
www.turkhackteam.org www.turkhackteam.org
Genişletmek için tıkla ...
site altyapısı olarak nginx kullandıklarını öğrendim

yosabe06' Alıntı:
Programın cracklenmemesi için önemli işlerini server side yapmışlar.
Bu bir api görevi görüyor komut injection edebilir misin bilmiyorum ama adamların bunuda düşündüğüne yemin edebilirim.
Genişletmek için tıkla ...
Teşekkürler, deneyeceğim.

DarkS0LDIER' Alıntı:
Sql acıgı varsa neden olmasın. Açıkları bulman lazım sql açığı bulmanın methotları vardı linkin sonuna tek tırnak koyup manuel bulabilirsin. Başka yöntemleri de var onları araştırman gerek ayrıca sql kesin sonuç vermeyebilir diğer zafiyet türlerine bak xss,vs.
Genişletmek için tıkla ...
Çabalayacağım eğer başarılı sonuç elde edersem iletişime geçebilirm.

Tekrar bir bilgilendirme geçeceğim. Sitede /phpmyadmin bağlantısı var. Havij ile admin sayfası olarak sadece bunu bulabildim.

Resim atamadığım için kodu paylaşacağım. Buna göre Haviji düzenledim.

WebRequest request = WebRequest.Create(serverName + checkRoute);
request.Method = "POST";
string data = "id=" + id + "&start=true";
byte[] byteArray = Encoding.UTF8.GetBytes(data);
request.ContentType = "application/x-www-form-urlencoded";
request.ContentLength = byteArray.Length;
using (Stream dataStream = request.GetRequestStream())
 
Oyla 0 Downvote
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.