Forumlarda Uzaktan Özel Mesaj Okunması

Çevrimdışı

Bunun mümkün olmadığını söyleyenler düz kullanıcılar admin panelcilerdir.. Uzaktan D.M Ö.M okumak basit bir işlem değildir ama mümkündür.. Bu hack ile alakalı veya şifre kırma ile alakalı değildir.. Mantığı rss olayına benzer.. 3. bir panelden bu akışı sağlaya bilirsiniz.. Bunun için eski versiyon bazı eklenti kodları test edip denemeniz gerekmektedir.. Bir siteyle bağlantınızın olmasına lüzum yoktur biraz URL yol bilgisi kurcalamanız lazım..
Ayriyetten bu bir btk sistemi ile aynı mantıktır..

Not: Güncel yerler güncelleme alan yerlerde bu root girişi olmadan imkansızdır.. Güncellemesi biten sistemi eskiyen ve kullanıcı tarafından yeni yılların sistemine uyarlanmayan alanlarda geçerlidir.. Bu sadece forumlar yada sitelerle alakalı bir durum değildir.. Mesela e - devlet sitesi güncellemeyi bıraktıktan 2 yıl sonra yeni tarayıcıların desteklediği kodları barındırmıyorsa aynı şekilde buda bir güvenlik açığı oluşmasına neden olur..

 

Çevrimdışı

 

Çevrimdışı

Destina kullanıcısının gönderdiği mesajdan alıntı

Aha olayın içindeki kişide halay çekiyor... tanıdık birisinden izin aldıktan sonra eski bir kaç mesajını okuduğumuzda mümkün olduğunu görmüştü... Kim acaba bu ? Şu aramızda kalsınlar varya hani bize onu kim derse o aramızda kalıyor aslında sırları sır olarak vermek sünnet gibi bişi oldu... Destina anonim şirketleri... sdhfgjdgh

 

Çevrimdışı

GoldenBoy kullanıcısının gönderdiği mesajdan alıntı

Aha olayın içindeki kişide halay çekiyor... tanıdık birisinden izin aldıktan sonra eski bir kaç mesajını okuduğumuzda mümkün olduğunu görmüştü... Kim acaba bu ? Şu aramızda kalsınlar varya hani bize onu kim derse o aramızda kalıyor aslında sırları sır olarak vermek sünnet gibi bişi oldu... Destina anonim şirketleri... sdhfgjdgh

''Destina Anonim Şirketi''
oo bunu çok sevdim. lksdjfsd

Ya salla gitsin herkesin bilgi becerisi kendine yapan yapar, yapamayan olmaz der, yada hiç oluru yok mümkün değil der üff.
Forumlar kadar basit birşey yok ya .d herşey olur.
Ss arşivim var benm kaç dosya sen ne diyon. kfjglskfjg
bakma sen şimdi millet birbirine telefon no, skype falan verdide özeller sakinleşti.
sdlkgjlsdjg

 

Çevrimiçi

Bu da dahil olmak üzere bütün genellemeler yanlıştır.

- Her eski sistemde, sistem eski olduğu için güvenlik açığı bulunacak diye bir kaide olamaz. Her yeni sistem de keza güvenli değildir. Bırakılan küçük bir açıktan sızılması sonucunda ilgili yazılımın üreticileri eğer güncelleme desteği sağlıyorsa anında bir patch yayınlar ve açığı kapatır.
- Yani "eski eski olduğu için açık vardır, yeni ve güncel olanda açık yoktur" şeklindeki bakış açısı sığ ve aşırı genellemedir. Kaldı ki; bu tarz açıkların çoğu yazılımdan değil, lisanslı yazılım temiz olmasına rağmen üzerine kurulan wa-rez eklentilerden ya da barınılan sunucudan kaynaklanır. Sunucu iyi konfigüre edilmemişse, açık yaratacak bir modül vb. kurulmuşsa sistem ne kadar sağlam olursa olsun sızma gerçekleşir.
- Uzak sunucudan vBulletin forumun özel mesaj tablosu default vB3 için admin authentication olmadan (senin deyiminle root erişimi) sızıp çekebileceğini düşünmüyorum. Ha bu şöyle olur; bir ara nulled vB'lerde login.php dosyasına kullanıcı bilgilerini loglamak için eklenen bir zararlı kod vardı. Bunun gibi özel mesaj tablosunu dışarı aktaran bir zararlıyı vBulletin'e bir şekilde sokarsan o forum özelinde bunu kolaylıkla yaparsın. Ama lisanslı ve temiz vBulletin, vBulletin.org'dan indirilmiş temiz eklentiler ve açığını bulmadığın bir sunucu bileşenlerinin bir arada olduğu bir yapıdan bahsediyorsak ben bunu yapabileceğine inanmıyorum. vBulletin 3 özelinde konuşacak olursam eski bir sistem olsa da yukarıda da belirttiğim gibi hâlâ kullanan birçok global platform var ve böyle kritik bir güvenlik açığını mutlaka şimdiye dek patchlerlerdi. Eğer illa "yok; ben kesin olarak okuyabiliyorum ve bunda iddialıyım, açık da vBulletin'in kendisinde" diyorsan @GoldenBoy, yapacağın en iyi şey bunu vBulletin.com'a açığı kanıtlarıyla birlikte İngilizce içerikte bir mail atmak olur ki cevap yazısında muhtemelen sana teşekkür edip kritik güvenlik güncellemesi yayınlarlar. Sen de bu konuda keşfettiğin vulnerable ile rahatlıkla sistemde açık bulduğunu firmanın cevabı yazısını ekran alıntısı koyarak her ortamda ispatlarsın. Ödül vereceklerini sanmıyorum ama en azından bir teşekkür ederler diye düşünüyorum. Zamanında bu Bug Bounty olaylarıyla da epey uğraşmıştım.

__________________

 

Çevrimdışı

Katılmıyorum yaptığımız birşeyi tartışmaya gerek yok.. Ispatlamak içinde bize mahkeme kararı yada yetkili merci getirin ıspatlayalım bunu size.. ama zaten imalarımızdan kim için bunu yapıyorsak anlar o kişi bazı kişilerin bunu anladığını sanıyordum demekki yanılmışım.... bu bir suçtur ayrıca.. çünkü müdavimi olmadığımız yerlerden bahsediyorum.. son yazdığın satır için bunu yazdım.. ayrıca bu bir açık değildir.. Rss' algoritmasını sadece haber çekmek için kullanmazsın' İş bunu nasıl yaptığında hangi araç gereçlerle yaptığında.. Ki bu sadece forum olan vbulletinlerde olan birşey değil.. Ticket soru cevap sistemleri yani bazı script'lerde 'de bu münkün' ben kolay olduğunu asla idda etmiyorum.. uzun vadeli inceleme gerektiren bir durum..
Zaten bundan herkes anlasaydı bu işin böyle yapıldığını şöyle oluyor dendiğini her yerde makale olarak görürdük.. Bu olay ilk Başarısoft şirketinde uygulama pratik dersi esnasında soruldu... Öğretmen diyeyim ben ona isim vermiycem bize tekniker teknisyelerin dizine eklenmeyen program paylaşım site adreslerini vermişti.. 10 yıldan fazla oluyor o depolama alanı a'dan z ye tüm bilinmeyen programlarla dolu.. Yani bu işi kodlamayla yapmıyorsun.. hazır yapılmış panellerle iş görüyorsun.. Belki ağzından kaçırdı belkide öğrencilerine söylüyordu bu depolama alanını tıpkı git.hup benzeri kendi aralarında geliştirme yaptıkları yerler.. bunlar buradan milyonlar kazanıyorlar
Şimdi aklından bir sayı tut ne tuttuğunu söyleyeyim der gibi ö.m at birilerine falanca zaman sonra sana neler yazışıldığını söyleyelim dememizi beklemiyorsunuzdur umarım.. Bu sistem kullanıcılarda olan programlama eğitmenlerinin verdiği bir eğitim bilgi değil.. Bilgi teknolojileri ve iletişim kurumu yani BTK dediğimiz alanda terörle mücadele işlerinde bu yöntem çok sıklıkla kullanılıyor.. ama onların uğraştığı siteler bu tür siteler değil uygulama üzeri siteler bunu az çok bilirsiniz tahmin edersiniz.. neyse..


Şu satır..

Kaldı ki; bu tarz açıkların çoğu yazılımdan değil, lisanslı yazılım temiz olmasına rağmen üzerine kurulan wa-rez eklentilerden ya da barınılan sunucudan kaynaklanır. Sunucu iyi konfigüre edilmemişse, açık yaratacak bir modül vb. kurulmuşsa sistem ne kadar sağlam olursa olsun sızma gerçekleşir

Konu ne olursa olsun katıldığım tek satır bu..

 

Çevrimiçi

Ben zaten özelde falancaya ne yazdım, hadi bunu çıkar göster gibi bir ispat aracı istemedim; bunun suç olacağını ikimiz de biliyoruz. Sen buna açık değil diyorsun ama eğer parola korumalı bir alana o gerekliliği bypass edip veritabanının ilgili bölümüne yetkisiz erişim sağlayarak okumalar yapabildiğini iddia ediyorsan; burada yazılım geliştiricinin istemi dışında bir işlem gerçekleştirdiğin için hukuken kötüniyet kastı, bilgisayar/hacking terminolojisinde ise açık/zafiyet keşfetmiş oluyorsun. Bu zafiyete belirttiğin gibi otomatize araçlarla ya da bir exploit yazarak erişiyorsan da zaten işlem legal olmamış oluyor. Ben suç işlemeden bunu, ilgili yazılımın üretici firmasına belirtip gerçekten kritik bir açık bulduğunu ancak bu şekilde yasal çerçevede ispatlarsın demek istemiştim. Sen ispatlama gibi bir çabam yok diyorsan eyvallah, dediğim gibi benim de inanmak gibi bir zorunluluğum yok.

Ben de şuna katılıyorum, dijital ortamdaki veriler için hiçbir zaman, hiçbir koşul ve ad altında %100 güvenlikten söz edilemez. Bugün dünyaca bilinen sistemler bile hacklenebiliyorken elbette ki vBulletin'de de XenForo'da da ya da falanca bir içerik yönetim sisteminde de kimse tarafından keşfedilmemiş zafiyetler tespit edilebilir. Ancak böyle bir açık varsa şimdiye kadar patchlenirdi diye düşünüyorum. Ha sen bulduysan, kaç zamandır da senden başkası bunu bulamadıysa ve sen hâlâ istediğini girip okuyabildiğini söylüyorsan helal olsun, ama ben yapabildiğine inanmıyorum.

__________________

 

Çevrimiçi

Emeğinize Sağlik. bu forumda olacağını Düsünmüyorum shelcimiz kim @Beatrice

 

Çevrimdışı

Regex kullanıcısının gönderdiği mesajdan alıntı

Ben zaten özelde falancaya ne yazdım, hadi bunu çıkar göster gibi bir ispat aracı istemedim; bunun suç olacağını ikimiz de biliyoruz. Sen buna açık değil diyorsun ama eğer parola korumalı bir alana o gerekliliği bypass edip veritabanının ilgili bölümüne yetkisiz erişim sağlayarak okumalar yapabildiğini iddia ediyorsan; burada yazılım geliştiricinin istemi dışında bir işlem gerçekleştirdiğin için hukuken kötüniyet kastı, bilgisayar/hacking terminolojisinde ise açık/zafiyet keşfetmiş oluyorsun. Bu zafiyete belirttiğin gibi otomatize araçlarla ya da bir exploit yazarak erişiyorsan da zaten işlem legal olmamış oluyor. Ben suç işlemeden bunu, ilgili yazılımın üretici firmasına belirtip gerçekten kritik bir açık bulduğunu ancak bu şekilde yasal çerçevede ispatlarsın demek istemiştim. Sen ispatlama gibi bir çabam yok diyorsan eyvallah, dediğim gibi benim de inanmak gibi bir zorunluluğum yok. Ben de şuna katılıyorum, dijital ortamdaki veriler için hiçbir zaman, hiçbir koşul ve ad altında %100 güvenlikten söz edilemez. Bugün dünyaca bilinen sistemler bile hacklenebiliyorken elbette ki vBulletin'de de XenForo'da da ya da falanca bir içerik yönetim sisteminde de kimse tarafından keşfedilmemiş zafiyetler tespit edilebilir. Ancak böyle bir açık varsa şimdiye kadar patchlenirdi diye düşünüyorum. Ha sen bulduysan, kaç zamandır da senden başkası bunu bulamadıysa ve sen hâlâ istediğini girip okuyabildiğini söylüyorsan helal olsun, ama ben yapabildiğine inanmıyorum.

Hayır bak anlamıyorsun dediğimi.. Bu bir açık değil diyorum İf koşullarını biliyorsun? Bilmemen imkansız.. Ben kendi mizacımla kısacık bir örnekleme vereyim..

Ö.m D.m bunlar iki kişi arasında nasıl gizliliğini koruyor.? Atıyorum şablon ismi dm'leri ilgilendiren kısım olsun.. adıda vb1 yada xf1 olsun... Bunun kodlamasını yapan programcı' yada coder artık adına ne derlerse.. Napıyor? sha' değeri giriyor sha nedir? onuda biliyorsun bilmiyorsanda illaki karşına çıkan birşeydir.. türkçe karşılığı şuan güvenlik ile igili sayı rakam algoritması.. eskiden bu böyle değildi şimdi bu böyle..
Bir site kodlaması yaparken.. site dediğim SCRİPT.. kodlama dediğimde yazılımı yaratmak için ilk kullanılan PHP ve HTML'den bahsediyorum.. Yani hani bir görsel varya iskeleti oluşturuyor birisi diğeride onu et' ile giydiriyor.. Onun gibi bir kodlama yapıyor herif...

Sha kullanıyor burada bizim şuan if koşulları dediğimizde aslında php içinde geçerlilik sağlayan bir kod'dur gizleme kodu id' yazarsın diğer bir id için anahtar yaparsın.. sağ kapıdan'mı sol kapıdan'mı otomatiğin hangisini açacağını belirlersin.. bu if'ler html tabanlarda'da çalışıyor başına sonuna tırnak noktalama koyunca işlemediği ortam yoktur..
Kısacası işi forumlara getirirsek kodlayanlar coder' ama hazır kalıpları birleştirip sıfırdan bir SCRİPT oluşturanlar.. Bu Dm. Öm okumanın olayı açık falan değil.. if koşullarını örnek verdim ben Dm'lerin şablonu yok veritabanına şifrelenerek gömülür onlar.. bunu gömende yapımcılar değil.. Kullandıkları kod yazma panellerinin anahtar kelime koyma özelliğinden olan algoritma sayesinde..
Bunları nereden biliyorum? Ben hacker değilim developer değilim ben bunun gerçekten dersini eğitimini aldım.. aldığım eğitimde bana bunları öğretmiyorlar legoları veriyorlar birleştir diyorlar bende birleştirdiklerim bakın bu diyorum üzerinde çalışıyorlar evet doğru sonuç çıktı diyorlar.. ama benim bulduklarım yeni birşey değil zaten varmış.. bende sanıyorumki yeni birşey keşfettim .. Neyse konuyu dağıttım yine uzun uzun yazarak..

Sha, md'5 gibi algoritmaları işleyen benim bildiğim şuan 6 panel var.. panel dediğim aslında programları barındıran bir kutucuk gibi birşey Komutlarla çalışıyor linux tabanında.. Misal pardus işletim sisteminde kali linux'a gerek duymadan bunları çalıştıra biliyorum.. En azından vbuleltin 3 serisi için işe yarıyor.. bu neden piyasada yok? çünkü ne olduğunu anlamıyorlar siyah bir ekran üzerinde gri yazılar hadi komut gir komutla? İşte olmuyor adamlar dizin haricinde site yapmış de web gibi düşün.. fransasından tut canada'sına kadar TÜRKLER var bak bunu yaptım şurayı devam ettiremedim hadi beyler diyerek paylaşım yapıyorlar.. Bunlarıda devlete satıyorlar öyle basit birşey değil söylediklerim.. İdda'da değil

Özel okuma bütün sitelerde veritabanına şifrelenmiş bir sistemdir basit olarak anlatmam gerekirse .. rss mantığında bir algoritmayla çekersin bu tıpkı siteyin indir demekle aynı manaya gelir.. sonra if koşullarının ve sha, md'5 türlerinide negatif'e edecek bir üst kod ile bunu panelde programlarsın... çatır çatır paneline bulduğun id' kiminse onun yazışmaları düşer.. sende bunu internet haberi gibi rahat rahat görürsün..

Aslında ben bunu paylaşacaktım.. bir olayım oldu benim.. falanca sitede falanca birisine mesaj atmışım bişiler demişim falan filan olmuş.. bunu orada yaptım bir sonuç alamadım yani yok benim birisine gönderdiğim birşey yok kendi id'mide biliyorum numaramı.. sonra konuştuk ettik sistemin kendisinde'de böyle bir log olmadığı için.. hazır deneme yapmışken bari paylaşayım demiştim bu seferde yalan yok korktum kesinlikle yasal değil bu çok büyük baş ağrısı getirir.. birisinin şikayet etmesine gerek yok.. googleye düşünce hayat kararır.. Bunuda sordum yani normalde gözü karayım bunda yemedi..

 

Çevrimdışı

Kodlarla beraber panelin kaynadığınıda verseydin bari birşey kalmamış tamam sus boş boğaz. .d

Kısacası yakalanmadığınız sürece suç değildir. lksdjfldskjf

İyi forumlar.