yeni başlayanlar için geniş hacking anlatımı

    Paylaş
    avatar
    Dabbe
    General
    General

    Erkek
    Mesaj Sayısı : 234
    Yaş : 25
    Nerden : konya
    Kayıt tarihi : 05/05/08

    default yeni başlayanlar için geniş hacking anlatımı

    Mesaj  Dabbe Bir Çarş. Mayıs 21, 2008 11:19 pm

    Değerli arkadaşlar, forumlardaki bilgilerin
    derlenmesi ve basite indirgenerek yazılması gerektiğine inanıyordum.
    Bunun için araştırdım, bu sırada kendim de geliştim. Şimdi, yeni
    başlayanların anlayabileceği düzeyde, geniş açıklamalı & içerikli
    bir döküman olması için bunu yazıyorum. Sıfırdan başlayan arkadaşlar
    için çok faydalı, "vasat" arkadaşların da içinde ufak detaylar
    bulabileceğini düşündüğüm bir döküman... Umarım faydalı olurum.

    Bu
    anlatımlarda, pratikten ziyade teorik bilgi vermek durumundayım ama,
    teoriyi oldukça geniş tuttuğum için pratik yapmanız kolaylaşacak
    inşAllah. Bunun yanında öğrendiklerinizi misyon dahilinde faaliyete
    geçirmeniz için çalışmanız gerekiyor. Anlatılanları pratiğe geçirirken
    karşılaştığınız soru(n)ları buraya veya başlı başına açtığınız bir
    forum konusuna yazarsanız yardımcı oluruz... Veya MSNM gibi iletişim
    programlarıyla da kafanıza takılanları "usta"larımıza sorabilirsiniz.

    Bu kadar nutuktan sonra, başlayalım...

    Web
    sitelerini hack’lemek için kullanılan iki yöntem vardır, domain ve host
    hack. Domain sitelerin adresidir, hosting ise siz sitenin adresini
    yazdığınızda yönlendiğiniz bilgisayardır, yani sitenin içerisindeki tüm
    dosyaları barındıran bilgisayarlar... Örneklendirecek olursak www.Cyber-boys.com bir domain’dir. Fakat bu sitede bulunan tüm dosyalar, bir hosting firmasının bilgisayarları içindedir. Siz adres bar’ınıza
    http://www.Cyber-boys.com
    yazdığınızda,
    Cyber-boys.com undosyalarının bulunduğu bilgisayara yönlenirsiniz. Bir
    sitenin domain’ini hack’lediğinizde, o domain’i sizin "hacked by xxx"
    yazan sayfanıza yönlendirirsiniz ve bu şekilde siteyi hack’lemiş
    olursunuz. Hosting hack’te ise, direkt olarak sitenin içeriğini
    değiştirir, Admin kullanıcısının ayarları ile oynar, yönlendirme ile
    filân uğraşmazsınız.

    Şimdi yöntemlerden bahsedeyim...

    Mail-hack: Domain hack için kullanılan en önemli yöntemlerden birisi mail hack’tir. Önce www.arama.com/domain.php3
    gibi adresleri kullanarak hedefimizdeki siteye whois çekeriz (Whois
    çekeriz dedim de kafanız karışmasın; sadece verdiğim adrese gidip
    karşınıza çıkan kutucuğa hedefteki sitenin ismini girip ilgili düğmeye
    tıklamanız yeterli ) ) ve orada admin mail veya technical contact gibi
    kısımlarda yazan mail adresini hack’leriz. Daha sonra bu whois
    bilgilerinde yazan domain veya host firmasına (ns1.xxx.com,
    ns2.xxx.com, veya register through yazan yerlerden kopya
    çekebilirsiniz, birazcık İngilizce’yle olayı anlayabilirsiniz zaten)
    hack’lediğimiz adresten mail atarız ve deriz ki: "şifremi unuttum,
    siteme giriş yapamıyorum. Yani size rahatsızlık vermek istemem ama şu
    şifremi, görmüş olduğunuz bu mail’e atar mısınız?". Eğer size direkt
    olarak şifreyi yollamak yerine "Dur bakalım birader... Senin adın,
    yaşın, şeklin şemalin, yani bize kayıt olurken kullandığın bilgilerini
    bir gönder bize ki, senin o sitenin sahibi olduğuna inanalım ve sana
    şifreyi yollayalım. Ne malum senin siteyi hack’lemeyeceğin?" gibi bir
    cevap gelirse, whois bilgilerinin arasında bulunan admin-name,
    admin-city gibi bilgileri derleyin, şöyle bir kalıba oturtun ve sizden
    üye olurken kullandığınız bilgilerinizi isteyen şirkete yollayın...
    Hack’lemek istediğiniz sitenin domain veya host şirketi (genelde aynı
    şirket olurlar) size şifreyi yollayacak... Veya hiç mail yazmakla
    uğraşmadan, domain şirketinin sitesine girersiniz ve orada online
    olarak şifrenizi yolladıkları "Şifremi Unuttum!" gibi bir link varsa
    orayı kullanırsınız. Onlarda size şifreyi yollar... Eğer şifre gelirse,
    bu şifreyi sitenin FTP’sinde de deneyerek sonuca ulaşabilirsiniz
    (belki, çünkü kullanıcı adı da lazım FTP’lerde ve bu çok değişik
    kelimeler olabilir, siteadi.com olmayabilir kullanıcı adları büyük
    ihtimalle! En iyisi manuel olarak muhtemel kullanıcı isimlerini denemek
    veya finger çekmek -ki uzun iştir finger çekmek, konu dağılmasın. O
    yüzden burada yazmıyorum nasıl yapıldığını, ilerleyen bölümlerde yeri
    gelince kısaca değineceğim.-...) veya domain şirketini kullanarak,
    domain’i içinde "Hacked by xxx" yazan bir adrese
    yönlendirebilirsiniz...)

    Tabii bu anlattıklarım için, öncelikle
    mail-hack’ten biraz anlamanız gerekiyor. O yüzden size şu anda
    hatırladığım birkaç mail-hack yöntemini yazayım:


    1. Fake mail:

    Tecrübesiz
    kullanıcıların mail’lerini almak için bire bir. Kurbana bir anonymous
    mail (Anonymous Mail=Belli bir mail adresinizin olması gerekmeden
    atabildiğiniz, kimlik bilgilerinizi taşımayan mail’lerdir denebilir)
    yollayan (aenima mail bomber gibi çoğu mail-bomber bu işi yapabiliyor)
    bir program veya bir fake mail/anonymous mail sitesi (mesela anonymous
    mail hizmeti www.anonymouse.ws
    adresinde var) kullanarak fake mail atabilirsiniz. Direkt olarak fake
    kodunu HTML şeklinde kendi elinizle yazabilirsiniz, ama "bununla
    uğraşamam" derseniz hazır fake kodlarını ve fake mail sitelerini
    kullanabilirsiniz. Tam yeri gelmişken söyleyeyim arkadaşlar, Hacking
    ile uğraşacaksanız en azından HTML’i bari bilin. Hazır fake kodlarını
    veya fake sitelerini de kullanabilirsiniz ama emin olun ki hiç bir kod
    sizinkinden güzel olamaz!.. Sadece Fake’de değil, her konuda lâzım
    HTML... Bunu öğrenin en azından... . Ayrıca Fake sitelerinden
    bazılarını biraz aşağıda veriyorum.

    Öncelikle, fake mail’in
    mantığı nedir? Fake mail’de, adama kullandığı mail account şirketinden,
    veya -daha kesin sonuç alabilirsiniz- adamın üye olduğu herhangi bir
    portaldan bir mail atıyormuş ve onun şifresine ihtiyaç duyuyormuş gibi
    davranıyorsunuz. Örneğin adama membersyasak adresinden mail atıyormuş
    gibi gösteriyorsunuz (farklı bir mail’den geliyormuş izlenimi verme
    özelliği hemen hemen tüm fake mail sitelerinde veya anonymous mail
    programlarında vardır), ve onun size yolladığı şifresi sizin
    belirttiğiniz mail adresine geliyor, yani sizin mail’inize. Meselâ siz
    Mynet yöneticisisiniz, "bir kullanıcı sizin siteniz hakkında bir
    şikayette bulundu, inceleme yapacağız" dersiniz ve "kullanıcı adı",
    "parola" ve bir de "sitenizin kısa tanımı" başlıklı 3 adet kutu
    gösterirsiniz. Formu kendi mail adresinize yönlendirirsiniz. Adam
    şifreyi yazıp gönder düğmesine bastığı an şifreyi siz alırsınız. Veya
    ne bilim, adama "üyelik aktivasyonu" başlığıyla bir mail atarsınız ve
    adamın üyeliğinin aktifliğinin korunabilmesi için size kullanıcı adı ve
    şifresini göndermesini söyleyebilirsiniz. Onun üye olduğunu bildiğiniz
    bir web sitesinin admin’i olarak ona mail atarsınız ve dersiniz ki
    "Sitemiz yeniden yapılanma içerisine girmiştir. Kullanılmayan hesaplar
    sebebiyle hem şirketimiz zor durumda kalmakta, hem de size verdiğimiz
    hizmetlerde aksamalar görülmektedir. Eğer sitemizi kullanmaya devam
    etmek istiyorsanız kullanıcı adınızı ve şifrenizi aşağıdaki kutulara
    girin (/aşağıdaki linkteki forma yazın)...." vs. diyebilirsiniz.
    Veyahutta... Önce kurbana saçma sapan birkaç adet mail
    atarsınız(mail-bomb yaparsınız) mesela "ERROAR 0013e5B" gibi saçma
    sapan bir içeriği olur. Sonra adamın mail aldığı şirketin üyelik
    hizmetkârı olarak bir mail atar ve dersiniz ki: "üyelik hesabınızda bir
    problem çıktı, üyeliğinizi yeniden yapılandırmamız için bize kullanıcı
    adı ve şifrenizi yollayın." Bunun gibi yalanlarla adamın şifresini
    istiyorsunuz ve adam sizin kendi mail adresinize veya hazırladığınız
    Fake script’ine yönlenmiş olan forma şifresini gönderdiği an, artık
    size kalan şifre ve kullanıcı adını mail sitesinin login kısmına girip
    mail’i hack’ledikten sonra, kullanıcı şifresi ve gizli soru gibi
    çeşitli bilgileri değiştirmek... Ve ardından, hiç vakit geçirmeden host
    veya domain şirketinden şifreyi istemek.

    Bu arada atlanmaması
    gereken bir konu var ki, bazı siteler HTML hâlinde gönderilen mail’leri
    biçimlendirmiyor, kodları gösteriyor (Mynet). Bunu atlatabilmek için
    stratejik bir site alıyorsunuz (mesela uyelikservisi.sitemynet.com gibi
    -mynet için inandırıcı olur bu tabii ki-) ve attığınız mail’de
    diyorsunuz ki: "aşağıdaki linke tıklayın ve bize şu şu şu sebepten
    dolayı yollamanız gereken bilgilerinizi gönderin." Aşağıdaki linkin
    bulunduğu siteye siz fake kodunu atıyorsunuz ve sonuçta mail sizin.

    Fake
    sonuçlarının size ulaşabilmesi için kendi fake servisinizi de
    kurabilirsiniz. Mesela ücretsiz asp host’u veren websamba.com gibi bir
    yerden site alırsınız, bedava ASP destekli adresinize, sonra da
    paketteki hazır HTML kodunu veya kendi yazdığınız kodu


    http://members.lycos.co.uk/pcsever/fake -
    www.siberkorsan.net/fake/index.php
    www.hademeler.netteyim.net/fakemail.htm
    http://members.lycos.co.uk/lenogin/index.php?sys=tur1
    http://members.lycos.co.uk/hacktim/index.php
    www10.brinkster.com/Dostturk/fake.htm
    www.kingsoffalcons.com/fake/index.php
    www.nailkaplan.tr.cx
    http://members.lycos.co.uk/adminnet/index.php?sys=tur1

    Fake konusu biraz da sizin yaratıcılığınıza bağlı... Temel olarak mantığı yukarıdaki gibi...

    Tabii
    ki fake atarken kullanılan dilin resmî ve nazik olması önemli. Bunun
    yanında sonuna "Mynet A.Ş.", "Hotmail", "Yahoo! Member Services" gibi
    şeyler yazarsanız daha inandırıcı olur. Lâkin Doktor’a gönderilen
    fake(!)’deki gibi "saygılarımızla yahoo a.ş." yazarsanız millet sadece
    sizinle dalga geçer...)

    Bu arada, fake’inizde adamın mail’inin
    alınmış olduğu şirketin sürekli kullandığı logosuna, resimlerine,
    linklerine de mail’iniz içerisinde yer verirseniz daha inandırıcı
    olur... ("Acaba onu Nası yapacam?" demeyin, hiç olmazsa HTML’i öğrenin
    be arkadaşlar! Tabii ki ve etiketleriyle))


    2. Gizli soru tahmini:

    Eğer
    şansınız varsa en zahmetsiz ve risksiz yöntem diyebilirim. Bilirsiniz
    ki çoğu mail şirketi üye olurken "şifreni unutursan girer ve şifreni
    değiştirirsin" düşüncesiyle bir gizli soru ve cevap belirlemenizi
    isterler sizden... Ve bazı kullanıcılar gizli soruları ve cevaplarını
    basit seçerler: "adın ne", "en sevdiğin içecek ne" vs. İşte böyle
    durumlarda ya atmasyon yaparsınız, ya da adamla dostane bir şekilde
    irtibat kurar, bir süre konuştuktan sonra çaktırmadan gizli sorusunda
    saklı olan bilgiyi sorar ve öğrenirsiniz. Sonra da mail’ini alırsınız
    ve şifreyle birlikte gizli soruyu da değiştirip mail’in sizin elinizde
    devamlı kalmasını sağlarsınız.

    Hotmail’de gizli soruya ulaşmak
    için aşağıdaki adresteki, xxxyasak ile gösterilen yere
    kullaniciadiyasak veya kullaniciadiyasak yazarak adamın gizli sorusuna
    ulaşabilirsiniz, eğer mail’i alan kimse ülke seçilen bölümde Türkiye’yi
    seçtiyse. Eğer Türkiye seçili değilse -tıpkı benim mail’imdeki gibi-,
    sizden bir eyalet veya başka bir ülke seçmenizi isteyecektir hotmail.
    Eğer adam kayıt olurken Amerika’yı seçtiyse yandınız, çünkü
    ülke+eyalet+posta kodu’nu doğru girmeniz gerekiyorki bu da imkânsız.
    Neyse ben URL’yi veriyorum:

    https://memberservicesnet.passport....com&xcountry=TR

    Mynet’te
    ise Mynet Brutus programını kullanabilirsiniz. İlk versiyonda bazen
    atlayabiliyor, ama ikinci versiyonu sadece Windows XP’de çalıştığı için
    deneyemedim -yalnız herkes sorunsuz çalıştığını söylüyor-. Bu programı
    kullanarak adamın doğum tarihini buluyorsunuz, sonra Mynet’e gidip
    gizli soruya ulaşmaya çalıştığınızda "doğum tarihini girmeden
    geçemezsin!" dediği zaman brutus’le öğrendiğimiz doğum tarihini giriyor
    ve gizli soruya ulaşıyoruz. Sonrası, sizin yaratıcılığınıza kalmış bir
    şey... Allah yardım etsin...

    Yahoo!’da ise "forgot password"le
    hiç uğraşmayın, arasında postal code’un da olduğu bir takım bilgileri
    girmeniz gerekiyor. Bu da sallamayla tutturulacak bir şey olmadığına
    göre,......


    3. Database Hack:

    Bir siteye üye olurken
    kullandığı şifreyi, mail, hatta web sitesi şifresi olarak kullanan
    insanlar %85’lik bir orana sahiptir nereden baksanız. Eğer elinize bir
    şekilde bir sitenin database’i geçerse, adamın şifresini ve mail
    adresini oradan öğrenir, sonra da gider mail adresi üzerinde o şifreyi
    denersiniz. Muhtemelen hack’lersiniz!.. Buradan, oraya-buraya üye
    olurken mail/FTP/internet account şifrelerimizi kullanmamamız
    gerektiğini de çıkartmış olmalısınız. Ayrıca Database hack kısmına
    ikinci derste değineceğim.


    4. Keylogger programlar:

    Casus
    programlar olarakta adlandırılan bu keylogger’ların mantığı şudur: Bir
    bilgisayarda yapılan işlemleri, basılan tuşları şifreleyip sizin
    mail’inize daha önceden belirlediğiniz zaman aralıklarıyla rapor
    etmesidir. Adam bilgisayarını kullanırken arada bir, -mail/FTP/internet
    account dahil- herhangi bir platformdaki üyelik hesabına girmek için
    kullanıcı adı ve şifresini kullanacağından ve bu bilgilerde size rapor
    edilenler arasında bulunacağından, aldığınız şifreyi kullanmak yoluyla
    adamın mail ve sitelerini hack’lemek şansı elinize geçecek. Amma....
    Bunu yapmanızı önermem; çünkü bu yöntemle alacağınız mail’ler
    genellikle zararsız, kendi hâlinde, masum kimselerin olacaktır. Eğer
    okulda veya herhangi bir internet kafede kafayı taktığınız, mutlaka
    mail’ini veya sitesini almak istediğiniz birisi varsa, bu programları
    onun bilgisayarına kurun/kandırarak kurdurun ve onun bilgilerini
    kullanın. Masumlara dokunmayın!..

    Bu programların isimlerini
    araştırarak bulabilirsiniz ama XPCSpy ve Invisible Keylogger isimli
    programların iyi keylogging yaptığını duymuştum. Serial falan
    isterlerse crackfind.com gibi crack arama motorlarını kullanarak
    serial’larına ulaşabilirsiniz. Bu arada bu tip keylogger’ları hedef
    bilgisayara siz kuruyorsanız şuna dikkat edin; keylogger’ları kurarken
    size "nereye kurayım?" dediğinde "crogram
    filesaccessoriesHyperTerminal" gibi kimsenin bakmak aklına gelmeyecek
    yerlere kurun ve eğer varsa başlat’taki, masaüstündeki program
    kısayollarını kaldırın ki, bulunmaası çok zorlaşsın...


    5. Chat Ortamında Şifre İstemek:

    Evet,
    bu tip insanlarda var. Yani kız taklidi yapıyorsunuz, birkaçta resim
    atıyorsunuz, sonra biraz nazlanarak mail şifresini istiyorsunuz. Verme
    ihtimali var, eğlence/mizah/geyik bölümünde böyle bir olayın örneğine
    rastlayabilirsiniz!)


    _________________
    нєякєѕιη нανα αттığı уєя∂є вєηιм яüzgαяιм єѕєя Benim KOnaklayamadigim Yerde Kimse İstirat EDEMEZ...

      Forum Saati Perş. Ara. 13, 2018 8:45 am