Arşiv:Haziran 2017

1
ProFTPd 1.3.5 Sunucusunda mod_copy modülünün İstismar Edilerek Komut Satırı Erişiminin Elde Edilmesi
2
Uygun Yapılandırılmamış Web Uygulamalarında WebDAV Özelliğini Cadaver Aracı ile Kötüye Kullanılarak İşletim Sistemi Üzerinde Komut Çalıştırılması
3
Web Uygulama Sızma Testlerinde WebDAV Uzantısı Etkinliğinin Tespit Edilmesi
4
Apport – Ubuntu 14.04/14.10/15.04 İşletim Sistemindeki Hak Yükseltme Zafiyetinin (Race Condition) İstismar Edilerek root Yetkileri ile Komut Satırının Elde Edilmesi
5
Python Kodu ile WordPress Kullanıcı Yönetimi Arayüzüne Erişim Sağlanabilecek Hesaplara Ait Kullanıcı Adlarının Tespit Edilmesi

ProFTPd 1.3.5 Sunucusunda mod_copy modülünün İstismar Edilerek Komut Satırı Erişiminin Elde Edilmesi

Sızma testleri sırasında tespit edilen zafiyetlerin istismarı ile hedef sistemin komut satırına erişim sağlanabilir. Bu yazıda, ProFTPd 1.3.5 ile FTP hizmeti veren Violator sanal makinesi üzerindeki uygulama zafiyeti istismar edilerek FTP servisini çalıştıran uygulama kullanıcı hesabının (proftpd) hakları ile dosya okunabilecek ve komut satırı erişimi elde edilecektir.

Devamını Oku

Uygun Yapılandırılmamış Web Uygulamalarında WebDAV Özelliğini Cadaver Aracı ile Kötüye Kullanılarak İşletim Sistemi Üzerinde Komut Çalıştırılması

WebDAV özelliği etkinleştirilmiş web uygulamalarında yeterli güvenlik önlemleri alınmamışsa, bu özellik kötüye kullanılabilir. Bu yazıda Bee-Box sanal makinesi üzerinde WebDAV uzantısı etkin bırakılmış ve yeterli güvenlik önlemi alınmamış web sunucusuna Cadaver aracı ile bir web shell dosyası atılacak ve işletim sistemi üzerinde komut çalıştırılacaktır.

Devamını Oku

Apport – Ubuntu 14.04/14.10/15.04 İşletim Sistemindeki Hak Yükseltme Zafiyetinin (Race Condition) İstismar Edilerek root Yetkileri ile Komut Satırının Elde Edilmesi

Linux sızma testleri sırasında standart haklar ile erişim sağlanabilmiş bir bilgisayarda, hak yükseltilerek yönetici hakları elde edilmeye çalışılır. Hak yükseltmek için kullanılan yöntemlerden birisi de işletim sistemindeki zafiyetlerin istismar edilmesidir. Bu yazıda, Linux Kernel 3.16.0 işletim sistemine sahip Simple CTF sanal makinesi üzerinde çalışan bir zafiyet (Race Condition) istismar edilerek standart kullanıcı haklarından “root” kullanıcısı hakkı ile komut satırı / kabuk elde edilecektir.

Devamını Oku

Python Kodu ile WordPress Kullanıcı Yönetimi Arayüzüne Erişim Sağlanabilecek Hesaplara Ait Kullanıcı Adlarının Tespit Edilmesi

Wordpress kullanan uygulamaların oturum açma ekranında uygulama kullanıcılarının tespiti için sözlük saldırısı gerçekleştirilebilir. Bu yazıda, WordPress kurulu Mr.Robot sanal makinesi üzerindeki kullanıcı adları basit bir Python kodu ile tespit edilecektir.

Devamını Oku

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.