Tiredful API | WriteUp

Tiredful API, içerisinde kasıtlı olarak zafiyetler barındıran bir web uygulamasıdır. Ücretsiz olarak bu web uygulamasını kurduktan sonra örnek senaryolar ile içerisindeki zafiyetleri sömürerek kendinizi geliştirebilirsiniz. Tiredful API uygulamasında olan zafiyet başlıkları; Access ControlCross Site Scripting (XSS)Information DisclosureInsecure Direct Object ReferenceSQL InjectionThrottling Yapmış olduğum işlemlerin ekran görüntülerini sizlerle paylaştım ve en sonunda zafiyeti nasıl sömürdüğümü detaylı... Okumaya Devam et →

3 Şubat 2020 0

WebGoat | WriteUp

WebGoat içerisinde çeşitli zafiyetler bulunduran bir web uygulamasıdır.Bu web uygulamasını kurduktan sonra içerisinde bulunan zafiyetleri sömürerek kendinizi geliştirebilir ve çalışabilirsiniz. Adım adım zafiyet çözümlerinin ekran görütünlerini sizlerle paylaştım ve yapmış olduğum işlemleri detaylı bir şekilde açıklamaya çalıştım. Tabii bir zafiyetin birden fazla şekilde exploit(zafiyeti sömürmek) türü olabilir. Yapmış olduğum örneklerle sınırlı kalma zorunluluğu yok yani... Okumaya Devam et →

27 Ocak 2020 0

DLL Hijacking Saldırısı Nedir, Nasıl Yapılır ?

Merhabalar, bu yazımda sizlere DLL Hijacking saldırısından bahsedeceğim. Sonrasında örnek bir saldırı senaryosunda Dll Hijacking saldırısının nasıl yapılabileceğini ekran görüntüleri ile anlatmaya çalışacağım. Kısaca DLL dosyalarının ne olduğundan bahsetmek istiyorum : DLL dosyaları, içerisinde bulundurduğu kod satırları ve fonksiyonlar ile sahibi olan programın&yazılımın çalışmasını ve işlevini yerine getirebilmesini sağlar. Çalışacak olan programlar (örneğin .exe dosyaları)... Okumaya Devam et →

20 Ocak 2020 0

(D)DoS Saldırı Türleri

Bu yazımda sizlerle (D)DoS nedir, (D)DoS türleri nelerdir ve ne gibi önlemler alınabilir bilgilerini paylaşacağım. DDoS (Distrubited Denial of Service) : Türkçeye, Dağıtık Hizmet Engelleme Saldırısı olarak çevrilmektedir. Bu saldırıda çalışan uygulama veya sisteme "fazla trafik yüklenerek" uygulama&sistemin çalışamaz veya erişilemez hale getirilmesi hedeflenir. DoS (Denial of Service) : Anlayacağınız gibi "Hizmet Engelleme Saldırısı" demektir.... Okumaya Devam et →

13 Ocak 2020 1

CTF Challenge’leri için Kullanılabilecek Toollar

Bu yazımda sizlerle, CTF'lerde kullandığım tool'ları ve web sitelerini paylaşacağım. Kısaca her tool'un ne işlemler yaptığını açıklayıp ve kullanımına örnek olmak üzere ekran görüntülerini paylaşacağım. Farklı CTF sorularında, yeni ve farklı tool'lar keşfettikçe onları da bu yazıya ekleyerek bu yazıyı zengin içerikli bir hale getirmeyi istiyorum (: CTF(Capture The Flag) Nedir diye açıklayacak olursam :... Okumaya Devam et →

6 Ocak 2020 0

DVWA – Medium&High Level | WriteUp

DVWA (Damn Vulnerable Web App) zafiyetli web uygulamasıdır. Ücretsiz olan bu web uygulamasını işletim sisteminize kurup, kendinizi geliştirebilir, zafiyetleri öğrenme ve sömürme konusunda çalışabilirsiniz. DVWA uygulamasında yapmış olduğum zafiyet başlıkları; CSRFCommand InjectionFile InclusionXSS (Stored)XSS (Reflected)XSS (DOM) Adım adım zafiyet çözümlerinin ekran görütünlerini sizlerle paylaştım. Tabii bir zafiyetin birden fazla şekilde exploit(zafiyeti sömürmek) türü olabilir. Yapmış... Okumaya Devam et →

17 Aralık 2019 0

Kerberos Protokolü

Kerberos Protokolü : Microsoft ortamında temel kimlik doğrulaması için Kerberos Protokolü kullanılmaktadır. Kimlik doğrulama mekanizması Biletler(Ticket) ile gerçekleşmektedir. Kullancılara Ticket dağıtımını KDC(Key Distribution Center) yapmaktadır. Genellikle sistemlerin 88. Portunda çalışmaktadır. KDC iki bölümden oluşmaktadır;• AS(Authentication Server)• TGS(Ticket Granting Server) Kerberos’un çalışma adımlarını sıralayacak olursak; ➊ - İstemci(client), kimlik doğrulama bilgilerini AS’ye gönderir. Kimlik doğrulama bilgilerinin... Okumaya Devam et →

3 Aralık 2019 0

ARP Protokolü & ARP Spoofing Nedir ? Nasıl Sömürülür ?

ARP(Address Resolution Protocol) : Adres Çözümleme Protokolü demektir. Yerel ağda IP adresini bildiği cihazın MAC adresini bulmak için kullanılır. Ağda olan bilgisayarlar birbirleri ile MAC adresleri üzerinden iletişim kurarlar. IP’sini bildiği bir bilgisayara bir paket göndereceği zaman, kaynak(Source) cihaz ARP tablosuna bakar ve hedef(Destination) cihazın MAC adresinin ARP tablosunda olup olmadığını kontrol eder. Eğer ARP... Okumaya Devam et →

29 Kasım 2019 1

LLMNR & NBT-NS Poisoning Nedir ? Nasıl Sömürülür ?

LLMNR (Link-Local Multicast Name Resolution) : Aynı yerel bağlantıdaki bilgisayarlar için isim çözümlemesi yapmalarına olanak tanıyan DNS bazlı bir protokoldür. Sıklıkla TCP&UDP/5355. Portta çalışmaktadır. mDNS (Multicast DNS) : Yerel bir DNS sunucusunun bulunmadığı küçük ağlarda, isim çözümlemesi görevini üstlenen bir protokoldür. NBT-NS (NetBIOS Name Server) : Diğerlerine benzer şekilde, host kimliği belirlemede kullanılan Microsoft Windows’un... Okumaya Devam et →

24 Kasım 2019 4

Metasploitable – 2 | WriteUp

İçerisinde bilerek bırakılmış güvenlik zafiyetleri bulunan bu linux dağıtımında, Mfsconsole yazılımının içindeki metotları kullanarak bu zafiyetleri sömüreceğiz. NMAP Çıktısı FTP - 21 1 – FTP servisinde çalışan vsftpd 2.3.4 için bir arama yapalım. 2 – Kod çalıştırmaya yarayan modülü seçelim 3 – Bizden istediği bilgilere bakıp, o bilgileri girelim. 4 – Exploit edelim, backdoor’umuz oluştu... Okumaya Devam et →

21 Kasım 2019 1

Etiket: koparmal