Forum Aski - Türkiye'nin En Eğlenceli Forumu - Tekil Mesaj gösterimi - Capture The Flag

**-X-** · 07.10.2014, 17:57

Capture The Flag | CTF Videolu Anlatım Çözüm

Öncelikle CTF'in ne olduğuna değinelim. Bayrak kapma anlamına gelen bu yarışmalar Web uygulamaları üzerinde açık arama, exploitleme, sızma ve yarışmayı kazanma amacıyla yapılır. Yarışmalar sonucunda para ödülleri, teknolojik ürünler gibi hediyeler dağıtılır.

Hazırlamış olduğum CTF çözümü Pennsylvania Üniversitesinde düzenlenmiş bir CTF. Adım adım anlatacak olursam;

1 - "Zenmap" ile ip ve port taraması yapıp sanal makineme kurulu CTF portalını tesbit ettim ve tarayıcımda açtım.

2 - Blog bölümünde "\" ile SQL enjeksiyon açığı olduğunu tesbit ettim.

3 - Sqlmap ile blogu enjeksiyona uğrattım ve kullanıcı giriş bilgilerini aldım.

4 - Giriş bilgilerini kontrol ettim ve bu bilgiler ile SSH oturumu üzerinden sunucuya bağlandım.

5 - Secure Shell oturumunda iken /tmp dizinine geçip kendi sunucumdan exploitimi çağırdım.

6 - Exploitimi gcc -o ile derledim ve çalıştırdım.

7 - Sunucuyu rootladım ve /home dizinine geçtim, root girişi olduğunu bildiğim kullanıcının ".bash_history" ile terminaldeki geçmişine baktım.

8 - su ve root1234 yazdığını gördüm. Bu durumda root şifresi "root1234" olduğunu gördüm. Ardından dstevens kullanıcısından çıkış yapıp root kullanıcısına geçiş yaptım. Bunu yapmamın nedeni root exploitini kapatınca yetkilerimi yitirmemek istememdir.

9 - /var/www/html/ dizinine geçip blogda "nano index.php" dosyası yarattım ve hacklediğim bloga not düştüm

Buyrun, bu da videolu çözüm;

07.10.2014, 17:57	#1 (permalink)
-X- Frav frivlbehz. Kullanıcıların profil bilgileri misafirlere kapatılmıştır.	Capture The Flag \| CTF Videolu Anlatım Çözüm Capture The Flag \| CTF Videolu Anlatım Çözüm Öncelikle CTF'in ne olduğuna değinelim. Bayrak kapma anlamına gelen bu yarışmalar Web uygulamaları üzerinde açık arama, exploitleme, sızma ve yarışmayı kazanma amacıyla yapılır. Yarışmalar sonucunda para ödülleri, teknolojik ürünler gibi hediyeler dağıtılır. Hazırlamış olduğum CTF çözümü Pennsylvania Üniversitesinde düzenlenmiş bir CTF. Adım adım anlatacak olursam; 1 - "Zenmap" ile ip ve port taraması yapıp sanal makineme kurulu CTF portalını tesbit ettim ve tarayıcımda açtım. 2 - Blog bölümünde "\" ile SQL enjeksiyon açığı olduğunu tesbit ettim. 3 - Sqlmap ile blogu enjeksiyona uğrattım ve kullanıcı giriş bilgilerini aldım. 4 - Giriş bilgilerini kontrol ettim ve bu bilgiler ile SSH oturumu üzerinden sunucuya bağlandım. 5 - Secure Shell oturumunda iken /tmp dizinine geçip kendi sunucumdan exploitimi çağırdım. 6 - Exploitimi gcc -o ile derledim ve çalıştırdım. 7 - Sunucuyu rootladım ve /home dizinine geçtim, root girişi olduğunu bildiğim kullanıcının ".bash_history" ile terminaldeki geçmişine baktım. 8 - su ve root1234 yazdığını gördüm. Bu durumda root şifresi "root1234" olduğunu gördüm. Ardından dstevens kullanıcısından çıkış yapıp root kullanıcısına geçiş yaptım. Bunu yapmamın nedeni root exploitini kapatınca yetkilerimi yitirmemek istememdir. 9 - /var/www/html/ dizinine geçip blogda "nano index.php" dosyası yarattım ve hacklediğim bloga not düştüm Buyrun, bu da videolu çözüm; Benzer Konular Assasins Creed IV Black Flag Videolu Oyun Kurulum... Limonata Tarifi Videolu Anlatım... Gül Böreği Tarifi Videolu Anlatım... Oje Nasıl Sürülür? Videolu Anlatım... CCleaner Nasıl Kullanır? - Resimli Anlatım - Videolu anlatım... Follow @Forumaski __________________ life over comp. sci.