Ana içeriğe atla

Ceyhan Belediyesi Pentest

Adana Ceyhan Belediyesi Pentest

Belediye ve gov tararken rasgeldi şifreyi kıramadım kendileri oluşturmuş sanırım.
açığı bildirdim ve kapatıldı kapatıldıgına göre bunu yayınlamamın bi mahsuru yoktur
umarım.

Açıgın oluştugu link:
http://www.ceyhan.bel.tr/haberler?id=3095%27

Sql syntax veya herhangi bi hata göremiyorum diyenler için haberlerden birine tıklayın
linkin sonundaki id ye bi tırnak atın haber bölümündeki açıklama yerinde
kırık resim linki olucak hata orada suan açık kapatıldı gerçi onu göremezsiniz ama
yinede atayım dedim kolay gelsin.
kadi                          sifre                             yetki
alivre  f4afed1e4c5564ba798bf938891275c6  Adminstrator

son kontrollerimden sonra 4 açık daha buldum onları da bir ekliyeyim açıkları ben tekrar
bildirdim onlar kapatana kadar burda gizlerim.

2. XSS


XSS i E-belediye sisteminde buldum ayrı bi ip şeklinde ayarlamışlar onuda bu exploit gibi bişi oldu
çünkü e-belediye sistemini yapan firma belediye sitelerine yapıyor o sistemi sadece ve bütün
belediyeler kullanıyor.





XSS'in oluştuğu yer; http://212.156.78.130:8898/borcsorgulama.belsoft

Aşağıda verdiğim koddaki "EKRANA YANSIMASINI İSTEDİĞİNİZ ŞEYİ YAZIN"
yazan yere ekrana yansımasını istediğin herhangi birşeyi yazın. Sayfanın dört bir
yanına yansıyacaktır yani şöyle


Code:


3. Meta

bu baya bi değişik birşey oldu meta kodunu borç
sorgulamadaki arama bölümüne yapıştırınca
sol ss deki gibi oluyor. Site beni banlamıyor
bunu yaparken bi kaç arkadaşımı siteye girdirdim onlardada aynı beyaz ekran pek
önemli birşey değil ama bunu da yazayım dedim
bu meta kodunu programla siteye 10 dakikada
bir yazdırırsak site kullanılamaz hale gelir,
borç sorgulama sistemi kullanılamaz yani
herneyse meta yı atayım sizde deneyin
o arama yerine meta kodu yapış

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Kali Linux Pulse Audio Sorunu

 kali linuxun son sürümünde bu pulse audio hatasını veriyordu yani hiçbir ses çıkış ayıgıtını ses giriş aygıtını göstermiyor çalıştırmıyordu  ses iconu sadece id şifre yazılan yerde görünüyor ve onunla kalıyor. peki bu sorunu nasıl çözeriz ; aşağıda verdiğim kodları terminale girerek bu sorunu çözebilirsiniz yalnız şöyle birşey var o ses veya hoparlor iconu gözükmüyor yine hiçbir şekilde sesi kısamıyorsunuz veya daha fazla açamıyorsunuz sadece o id şifre yazılan kısımda yapabiliyorsunuz ses açma kapama  işlemini. apt-get update rm -rf .pulse/ rm -rf .pulse-cookie rm -rf .config/pulse/  Etiketler: kali linux mikrofon çalışmıyor , kali linux ses gelmiyor , kali linux ses iconu yok , kali linux ses ikonu yok , kalilinux hoparlor çalışmıyor , pulseaudio ses gelmiyor

Paraaaaaaaaaaaaaaaaaaaaaaaaaaaaa

şu uykulu halimle makaleyi yazıp bir an önce uyuyayım diyorum içimden ama olmaz çünkü artık her insan evladı gibi benimde artık uykumu düzene sokmam lazım sabah 6 da kalkıp akşam 8 de uyuyan kölelerden olmalıyım şu önümdeki 1-2 yıl kadar bildiğiniz gibi para olmadan wc yi bile kullanamadığımız için projeye para yetiştiremiyoruz kodumun ülkesinde yatırımcı bulmakda zor olduğu için kendi projemin parasını çıkartana kadar böyle devam. abi anlamıyorum böyle güzel projeler karanlıkda kalmamalı aydınlanmalı günde en az 2-3 özgün proje kuruyoruz kafamızda e hadi ne duruyoruz uygulayalım diyoruz ve sonuç hüsran neden çünkü paramız yok. çünkü fuckiriz en azından bi o projelerin zirvelere gelişini bi ucundan göreydik iyiydi.ne bileyim projenin hayata geçmesi bile yeterli gerçekten para kazanması umrumuzda bile değil çoğu projemizde evet para lazım geçinmeye lazım ekmeğa sigaraya çaya kahveye sekse diğer bütün gereksinim olarak hayatımıza soktuğum

KazimKarabekir.bel.tr admin login Exploit

son zamanlarda hacklenen belediye siteleri webmasterına yeni script yazdırarak güvende oldugunu sanarken  yaptıkları ufak hata sonucu çıkan yeni açıkları ile direk admin login e erişebiliyorsunuz. scriptlerini yenileyen belediyelerin büyük çoğunlugunda bulunan admin login açıgını yine tesadüfen http://kazimkarabekir.bel.tr' da gördük :D şöyle ki normalde admin login yeri burası  http://kazimkarabekir.bel.tr/admin bunun üzerine admin giriş yaptıkdan sonra yönlendirdiği sayfa da burası http://kazimkarabekir.bel.tr/admin/main.php   normal bir kullanıcı direk giriş yapmadan  http://kazimkarabekir.bel.tr/admin/main.php girdiğinde kullanıcı adı şifre yazmadan admin paneline erişebiliyor bu da böyle ilginç birşey sitenin scriptini bilmiyorum bilen arkadaşlar yorumda belirtirse iyi olur hacklenecek siteler çıkar en azından :D açıgın ss leri;