Selim ÖNDER ~ Kişisel Blog

SQLi Helper 2.7 Kullanım – Video

admin — Tue, 31 Aug 2010 23:33:44 +0000

Döküman;

=============================================================
[+] SQLi Helper 2.7
=============================================================
=============================================================
SQLi Helper MySQL,MSSQL,MSACCESS gibi database türlerine enjeksiyon yapmanıza yardımcı olur.

//Öğrenilmesi gereken genel işlevleri;

[+] Inject Butonu
=============================================================
Target kısmına girdiğiniz adrese enyeksiyon işlemini başlatır. Ek olarak Server, DBVersion, PHPVersion, Current User, Current Database ve Union Columns
gibi bilgileri beraberinde verir.
=============================================================
[+] Stop Butonu
=============================================================
Devam etmekte olan eventi sonlandırır.
=============================================================

[+] Get Database Butonu
=============================================================
Enjeksiyon işleminin gerçekleşmesi akabinde eğer destek var ise* database isimlerini listeler.
*=”Örneğin MySQL 4 bu özelliği desteklemez, bu noktada devreye Bruteforce devreye girer”
=============================================================

[+] Get Tables Butonu
=============================================================
“Get database” İşlemi tamamlandıktan sonra “Database name” bölümünden seçtiğiniz database içindeki tabloları görmeye yarar.
=============================================================

[+] Get Columns Butonu
=============================================================
“Get tables” İşlemi tamamlandıktan sonra “Table name” bölümünden seçtiğiniz tablonun içindeki kolonları görmeye yarar.
=============================================================

[+] Save Structure Butonu
=============================================================
Program üzerinde bir iş yaparken bu işi bu buton ile kaydedebilirsiniz. Host information, Url, Vuln, Database, Tables, Columns gibi bilgileri
belirlediğiniz txt dosyasına import eder.
=============================================================

[+] Load Structure Butonu
=============================================================
“Save Structure” butonu ile kaydettiğiniz dosyayı bu buton ile programa export ederek işinize kaldığınız yerden devam edebilirsiniz.
=============================================================

[+] Load File Butonu
=============================================================
Bu buton server üzerindeki herhangi bir dosyayı size gösterebilir. Mantığı MySQLdeki “load_file” komutudur. Butonun sağındaki text kutucuğuna dosyanın dizinini yazmak yeterlidir.
Örnek: “C:\boot.ini”, “/etc/passwd”
=============================================================

[+] Options
=============================================================
[-] Comment to use : Enjeksiyon yapılırken kullanıacak yorum.
[-] DataExtractThreads : Data çıkartmak için kullanılacak thread sayısı.
[-] HeaderAgent : Tarayıcı kimlik ve user agent bilgileri buradadır.
[-] HexSQL : HexSQL yapıp yapmıyacağını sorar. Default değeri “True” dir. Enjeksiyon yaparken hex kullanır.
[-] ProxyAdress : Proxy Adresi.
[-] ProxyDomain : Proxy Domaini.
[-] ProxyPassword : Proxy Şifreniz.
[-] ProxyPort : Proxy Portunuz.
[-] StartingRowExtract : Çıkartmanın başlanacağı row.
[-] UniqueKeyForExtarct : Çıkartma için özel bir key var ise buraya giriniz.
[-] UseProxy : Proxy’i kullanıp kullanmıyacağınızı sorgular.
=============================================================

[+] Admin Finder Butonu
=============================================================
Dizin içinde admin klasörünü bulmanıza yardımcı olur.
=============================================================

[+] RS Checker
=============================================================
Rapidshare account var ise buradan kontrol eder.
=============================================================

Google index hız testi yapıyoruz…

admin — Tue, 24 Aug 2010 07:44:04 +0000

Evet sabah sabah, birden esti.

Normal performansdan ödün vermemeye çalışıyoruz. Az backlink ile sağlam seo :P Siteye analystics ekledim sonuçları takip ediyorum. Ek olarak adsense işine yeniden girmeyi düşünüyorum.. Neyse 1-2 hafta içinde neler olacağını göreceğiz.

Ha pr güncellemesinide dört gözle bekliyorum. İyi bi pr alma umudundayım

Saygılar

// Evet 1dkdan az bi sürede indeximizi aldık :=)

Steam’ın update edilmesinden sonraki açılmama problemi

admin — Mon, 23 Aug 2010 18:24:09 +0000

Selam arkadaşlar
Steam.exe yi başlatıyorum görev yöneticisinde gözüküyor fakat ekrana hiç bişey gelmiyor, gibi bir şikayetiniz varsa çözümünüz bu yazıdadır..

Sorun regkeylerden kaynaklanıyor.
XP kullanıcıları;
Çalıştır-> Regedit yazın ve
HKEY_LOCAL_MAHCINE\\SYSTEM\\CurrentControlSet\\Con trol\\Session Manager\\Environment
Bölümüne gidin “DEVMGR_SHOW_DETAILS” girdisini silin.
Yapamayanlar için CTRL+F yapıp “DEVMGR_SHOW_DETAILS” yazmanız yeterli olacaktır. İşlemi Tamamladıktan sonra steamın açılacağını göreceksiniz.

Vista/7 Kullanıcıları;
Sorun büyük ölçüde yetki ve uyum sıkıntısından çıkıyor. Steam özelliklerinde uyumlulugu Win2000 yapın ve administrator olarak çalıştır işaretini seçin. Sorun kalmıyacaktır.
Tags : Selim

200 den Fazla Güvenlik Videosu (Security Tube)

admin — Sat, 21 Aug 2010 16:43:38 +0000

Security tube üzerinde yüzlerce Güvenlik videosu bulunmakta. Sistem güvenliğinden, sistem açıklarına kadar herşey. Hepsini sitemapta toplamışlar, iyi seyirler.

link : http://www.securitytube.net/sitemap.aspx

tags : Selim

Selim

Formspring.me üyeliğimi açtım

admin — Thu, 19 Aug 2010 02:52:42 +0000

Çok geç oluyor belki :P Dilediğiniz soruları buradan alıyoruz -> http://www.formspring.me/selimonder
kolay gelsin :))

Portscanner

admin — Sat, 14 Aug 2010 21:16:10 +0000

Selam

Keyif & iş kolaylaştırma amaçlı yazdığım portscanner programını sizlere sunuyorum. Kullanmadan önce lütfen video tutorialini izleyin.

Kullanım[Video] -> http://selimonder.com/dosya/video/portscan/port.html

Kullanım[Youtube] -> http://www.youtube.com/watch?v=wuiZJ2ntmRI

Program arayüzü;

Portscanner

Download[Portscanner] #1 -> Portscanner.exe
Download[Portscanner] #2 -> Portscanner.exe

Download[Httptrimmer] #1 -> Trimmer.exe
Download[Httptrimmer] #2 -> Trimmer.exe

Kolay gelsin :F

Tags : Selim

Nasa Güneş Fırtınasını HD kalitede yayınladı

admin — Thu, 12 Aug 2010 16:15:40 +0000

Biliyorsunuz güneş fırtınaları teknolojiyi çok yakından ilgilendiriyor. Çünkü güneş fırtınaları sadece insan sağlığını değil, dünya yörüngesinde dolaşan uyduların yeryüzü ile iletişimini de negatif yönde etkiliyor.

Henüz tehlike çanlarını çalacak kadar kötü bir durumda değiliz ama NASA’ya göre 2012 ve 2013 yılları güneş fırtılarının zirve yaptığı yıllar olacak. NASA’nın geçtiğimiz günlerde kaydettği görüntüler de bunun bir işareti olarak algılanıyor.

Korkutucu olsa da bu muazzam güzellik mutlaka seyredilmeli.

TAGS: Selim

İlk ramazan davulcusu geçti

admin — Wed, 11 Aug 2010 00:18:25 +0000

Evet şuan geçti :P
Allah kabul etsin sahurculara afiyet olsun

MySQL : Auth Injection

admin — Tue, 10 Aug 2010 11:38:39 +0000

Dökümanı anlayabilmemiz için temel seviyede MySQL ve PHP bilgisi gerekmektedir. Bu uyarı akabinde gerekli şartların sağlandığını varsayarak dökümanıma başlıyorum.

Dökümanda bahsedeceğim konu; MySQL Login işleminde yapılabilecek auth enjeksiyon.

——————————————————————————————————

Evet arkadaşlar login sayfamdaki kodları inceleyelim ve mantığı anlayalım;

sayfa1:login.php
Açıklama: Bu sayfada login için gerekli olan input ve buttonlarımızı belirliyorum.
——————————————————

——————————————————

sayfa2:login2.php
——————————————————

——————————————————

Ana işlemlerimiz login2.php içinde olduğu için incelemeye başlıyalım;
Gördüğünüz gibi MySQL Connection’u gerçekleştirdikten sonra post değerlerini alıyor ve if sorgusuna sokuyoruz.
Eğer bilgiler doğru ise “Başarıyla giriş yaptın”, Değil ise “Girdiğin bilgiler yanlis, Kullandigin parola: Girilen Parola değerini” mesajlarını alıyoruz.

Çok fazla kafa şişirmeden enjeksiyon olayına geçmek istiyorum. Önce bi log-in işlemi deniyelim;

Başarıyla login olduk. Şimdi yanlış bilgilerle login olalım;

Burada güvenlik açığı teşkil eden olan şudur;
——————————————————

Kodumuz; SELECT * FROM user WHERE user=’$username‘ AND password=’$password‘

Doğrulamamızı yaparken; AND password=’$password‘ – kısmında eğer parola doğru ise True değeri dönüyor ise sorunsuz bi şekilde olay gerçekleşecektir.
Fakat; AND password=’$password‘ kodunu -> AND password=’ ‘ OR ”=’ ‘ şeklinde aldığımızda yeniden True değeri dönecektir.. Enjeksiyon burada gerçekleşecektir..
Neden mi?
İnceleyelim;

1. Parola kısmını boş bırakıyoruz

2. OR(Veya) ile başlıyoruz ve ‘ ‘=’ ‘ eşitliğini giriyoruz. ‘ ‘=’ ‘ doğru bir ifade olduğu için sorgudan True değeri dönüyor ve login olabiliyoruz. Burada önemli olan eşitliği sağlamaktır. Gireceğimiz kod ‘x’='x veya ’1′=’1 de olabilirdi önemli olan eşitliğin sağlanmasıdır arkadaşlar.

Hepsi bu kadar ve içerideyiz…

// Yazar : Selim ÖNDER

Dökümanı anlayabilmemiz için temel seviyede MySQL ve PHP bilgisi gerekmektedir. Bu uyarı akabinde gerekli şartların sağlandığını varsayarak dökümanıma başlıyorum.

Dökümanda bahsedeceğim konu; MySQL Login işleminde yapılabilecek auth enjeksiyon.

——————————————————————————————————

Evet arkadaşlar login sayfamdaki kodları inceleyelim ve mantığı anlayalım;

sayfa1:login.php
Açıklama: Bu sayfada login için gerekli olan input ve buttonlarımızı belirliyorum.
——————————————————

——————————————————

sayfa2:login2.php
——————————————————

——————————————————

Çok fazla kafa şişirmeden enjeksiyon olayına geçmek istiyorum. Önce bi log-in işlemi deniyelim;

Başarıyla login olduk. Şimdi yanlış bilgilerle login olalım;

Burada güvenlik açığı teşkil eden olan şudur;
——————————————————

Kodumuz; SELECT * FROM user WHERE user=’$username‘ AND password=’$password‘

1. Parola kısmını boş bırakıyoruz

Hepsi bu kadar ve içerideyiz…

——————————————————

Güzel bir yazı :)

admin — Tue, 10 Aug 2010 11:32:27 +0000

New York’ta bir bankanın önünde duran son model Rolls Royce otomobilden inen ada…m, hızlı adımlarla bankaya girdi ve önüne çıkan ilk görevliye, bireysel kredi için başvuruda bulunmak istediğini söyledi. Görevli onu, müşteri temsilcisine götürdü. Adam, çok acele bir is için Avrupa’ya gitmek zorunda olduğunu ve bu nedenle bir hafta vadeli beş bin dolar krediye gereksinim duyduğunu söyledi. Müşteri temsilcisi kısa bir araştırma yaptıktan sonra. “Ticari ve mali sicilinizi inceledik. Bu krediyi almanız için bir engeliniz yok” dedi ve ekledi: Fakat bir konuyu belirtmeliyiz. Bizim bankamızla daha önce hiç çalışmamışsınız. Banka olarak sizi resmen tanımıyoruz. Bu nedenle, söz konusu krediyi verebilmemiz için karşılığında sizden bir teminat almak zorundayız”. Adam cebinden Rolls Royce’un anahtarını çıkardı, bankanın müşteri temsilcisine uzattı: “Çok acelem var, uçağa yetişeceğim.” dedi. “kapıdaki Rolls Royce’ umu teminat olarak alabilirsiniz”. Kredi işlemleri çok hızlı bir bicimde tamamlandı. Banka Rolls Royce otomobili bankanın garajına çektiler, adama da beş bin dolar krediyi verdiler. Müşteri temsilcisi, kişisel merakını gidermek için bir hafta boyunca özel bir araştırma yaptı ve bankalarının bu yeni müşterisinin çok büyük bir is adamı ve çok büyük bir servet sahibi olduğunu öğrendi. Bir hafta sonra adam yeniden gelip, borcunun anaparası beş bin dolarla, bir haftalık faizi dokuz bucuk doları ödedikten sonra, müşteri temsilcisi bir turlu yenemediği merakının dürtüsüyle sordu: “Sizin, çok büyük bir is adamı ve çok büyük bir servetin sahibi olduğunuzu öğrendim” dedi. “Yalnızca kişisel merakımdan soruyorum. Lütfen söyler misiniz, sizin için çok küçük bir miktar olan beş bin dolarlık krediye neden gereksinim duydunuz?” Adam hafifçe gülümsedi: “Siz de bana lütfen söyler misiniz?” dedi. “Böyle lüks bir otomobili, New York’ta hangi kapalı garaja, bir hafta boyunca dokuz bucuk dolara bırakabilirsiniz?(para kazanmak sadece çalışma ve hırsla olmaz,zeka da gerekir..)