#AsuultSambar :
https://forum.asuult.net:443/

Хакердах хичээл No.2
https://forum.asuult.net:443/viewtopic.php?t=126558		 1 хуудас 7
Зохиогч:  Жарг_л [ 8-р сар.07.08 6:58 pm ]
Постын сэдэв:  Хакердах хичээл No.2
Хакердах хичээл No. 2

(Би Хакер биш шүү. ямар ч хүсэлт хүлээж авахгүй!?!)

Маш олон гишүүд хакердах бодит хичээл байхгүй юмуу гэсэн хүсэлт тавьсан байна. Тэгэхээр энд бүгдээрээ Монгол сайтуудынхаа нүхийг олж засъя. Мэдлэгээ бие биенээсээ харамлах хэрэггүй болов уу. Гадаадын team-ууд бусдадаа илүү мэддэг зүйлсээ нэг нэгэндээ зааж өгөөд жигдхэн сайн болоод л байна. Гэтэл манайхан мэдсэнээ өөртөө л хадгалаад (амиатаад) байхаар Монголын “хакер”-уудын ерөнхий түвшин дээшлэхгүй л байна. Тиймээс Монгол сайтын Админуудынхаа нүхийг засаж өгч тэдний мэдлэгийг сайжруулъя. Мөн давхар ирээдүйд сайн Хакер болох гэж байгаа хүмүүсээ ч бэлтгэе.


Энд хакердсан тухай бичлэг хийх гэж байгаа бол дараах дүрмийг баримтална уу.
1. Эхлээд нэг Монгол сайтын нүхийг олно.
2. Хийсэн үйлдлээ зургаар эсвэл бичлэг болгоод хадгалж авна.
3. Нүхийг нь өөрөө бөглөнө эсвэл сайтын Админд хэлж бөглүүлнэ.
4. Нүхийг бөглөсний дараа энд бичлэг болгож тавьна.
5. Тухайн сайтын мэдээллийг устгахгүй байвал зүгээр байхаа, цаанаа хүний хөдөлмөрөөр бүтсэн зүйл шүү дээ. :col:


За тэгээд хэн нэг нь юм тавихаар "эксперт"-үүд нь ийм амархан юм, ойлгомжтойшд энэ тэр гээд байдаг шүү. Тэгээд ойлгомжтой зүйл гэж бодоод тайлбараа алгасахаар "мэдэхгүй" нэг нь асуугаад мэддэг нь хэлэхгүй гайхуулаад... Мэддэг бол өөрөө тийм нэг бичлэг тавиад сайхан тайлбарлаад, мэдэхгүй бол том том дуугараад хэрэггүй байх гэж зөвлөе. :hi:


[sub]Жич: Мөн энд тавигдсан бичлэг болон бусад зүйлсийн талаар миний бие ямар нэг хариуцлага хүлээхгүй болно.[/sub]
Зохиогч:  Жарг_л [ 8-р сар.07.08 7:18 pm ]
Постын сэдэв: 
Юуны өмнө вэб яаж хакердахыг энд заагаагүй ямар алдаа гаргаж болдгийг түүнийг яаж засах талаар бичье гэж бодлоо. Тиймээс ямар нэг хууль зөрчсөн гэж бодохгүй байна. Мэдэхгүй чадахгүй хүн олон байгаа байх гэж бодоод маш дэлгэрэнгүй энгийнээр тайлбарлархыг хичээв. Экспертүүд нь хэдэн мөр эсвэл зураг алгасаж үзэхгүй бол уйдах байхаа. :lol:

За энэ сэдвийг нээх гэж байхдаа "жишээ" яаж хийх вэ гэж бодож байгаад google ашиглаж үзэхээр шийдэв.
Код:
allinurl:upload filetype:php inurl:mn
Юуны өмнө upload гэсэн үг орсон байвал би өөрийнхөө янзан бүрийн хуудсыг хуулж байгаад үзэж таръя гэж бодоод дараах мөрийг бичсэн болно.
Код:
allinurl:upload
Дараа нь монгол вэб оролдоно гэсэн болохоор
Код:
inurl:mn
-г бичив.
Код:
filetype: php
гэдэг бол PHP өргөтгөлтэй хуудас хайна гэсэн үг. Монголчууд 90% магадгүй 100% энэ хэл дээр вэб хийдэг байх. :-D

Хавсралтууд:
pic 1.jpg
pic 1.jpg [ 135.87 KiB | 66956 удаа үзсэн ]
Зохиогч:  Жарг_л [ 8-р сар.07.08 7:28 pm ]
Постын сэдэв: 
Хамгийн эхний линк рүү нь шууд дараад үзэв. Өмнө нь лав ийм сайт байдгийг мэдээгүй юм байна.
www.cdeq.mn гэдэг сайтын файл сервер лүү хуулдаг хэсэг рүү орсноо ойлгов.

Файл илгээх гэдэг нь мэдээж миний гол бай, энийг ашиглаж өөрийнхөө кодтой хуудсыг хуулах эсвэл өөр ямар нэг нүх сүв байгааг нь хайж буй хэрэг юм.

Хавсралтууд:
pic 2.jpg
pic 2.jpg [ 142.83 KiB | 66945 удаа үзсэн ]
Зохиогч:  Жарг_л [ 8-р сар.07.08 7:34 pm ]
Постын сэдэв: 
Сайтыг нь оролдохоосоо өмнө эхлээд хэний сайт вэ гэдгийг нь нэг харчих хэрэгтэй. Засгийн газрын сайт ухаад сууж байвал яаана... Будаа болийшд. :??:

Энийг хараад Саак.МН дээр дандаа л мэдээ нэмдэг админыг JagaaRJ гэдэг шиг санагдав. Саак руу орж лавлаж харав. Ямар ч байсан энэ хүнийг би танихгүй, танилын минь сайт лав биш чинь ухнаа. :col:

Хавсралтууд:
pic 5.jpg
pic 5.jpg [ 149.18 KiB | 66939 удаа үзсэн ]
Зохиогч:  Жарг_л [ 8-р сар.08.08 9:44 am ]
Постын сэдэв: 
За тэгэхээр оролдох вэбээ олчихсон юм чинь proxy сольдог сайт заавал ашиглах хэрэгтэй үгүй бол таныг шууд л бариад авна. Жишээлбэл: www.ftunnel.com

Энэ жишээн дээрээ би харин юу ч ашигласангүй. Та нар үүнийг харин битгий дууриагаарай. Заавал proxy сервер ашиглах хэрэгтэй.

За одоо нөгөө сайт руугаа ажилладаг эсэхийг нь шалгаж юм хуулж үзье.

TOS-г нь чагтлахгүйгээр хуулж болдоггүйг нь мэдэж авлаа. (Мөн php файл шалгахгүйгээр хуулдаг сайт байна. Тэгэхээр та хаана хуулж буй замыг нь мэдчихвэл өөрийнхөө PHP хуудсыг хуулаад хүссэн хийх боломжтой гэсэн үг шүү дээ. Гэвч энэ жишээн дээр түүнээс хялбархан арга хэрэглэсэн болохоор илүү ажил хийх хэрэггүй л болов уу.)

Хавсралтууд:
pic 3.jpg
pic 3.jpg [ 123.62 KiB | 66915 удаа үзсэн ]
Зохиогч:  Жарг_л [ 8-р сар.08.08 9:47 am ]
Постын сэдэв: 
За ямар ч байсан амжилттай хуулж байнаа гэдэг чинь ажилладаг сайт байна гэсэн үг.

Одоо харин Логин хуудсыг нь олох үүднээс ганц хоёр удаа тааж URL бичих хэрэгтэй. login.php, admin.php, administrator.php, users.php, admin_login.php гэх мэт.

Хавсралтууд:
pic 4.jpg
pic 4.jpg [ 117.5 KiB | 66907 удаа үзсэн ]
Зохиогч:  Жарг_л [ 8-р сар.08.08 9:53 am ]
Постын сэдэв: 
Хэтэрхий амархан олдлоо. :-D
username байхгүй шуул л нууц үг хайх хэрэгтэй болж байна. Бидний ажлыг 2 дахин багасгаж өглөө. :wink:

Шууд таачих гэж оролдоод нэлээд хэдэн нууц үг өглөө таардаггүй ээ. 8)

Хавсралтууд:
pic 6.jpg
pic 6.jpg [ 88.72 KiB | 66885 удаа үзсэн ]
Зохиогч:  Жарг_л [ 8-р сар.08.08 9:57 am ]
Постын сэдэв: 
Буруу нууц үг хийхээр мэдээж алдааны бичиг өгнө. Тэр дээрх мөр их хэрэгтэй мөр шүү тухайн хуудас нууц үгээ яаж шалгаж байгаа нь тэндээ харагддаг болохоор.

Хавсралтууд:
pic 7.jpg
pic 7.jpg [ 92.29 KiB | 66869 удаа үзсэн ]
Зохиогч:  Жарг_л [ 8-р сар.08.08 9:59 am ]
Постын сэдэв: 
Нууц үгийг нь яаж шалгаж байна гэдгийг харах зорилгоор хуудасны доторх кодыг харлаа.

Хавсралтууд:
pic 12.jpg
pic 12.jpg [ 139.42 KiB | 66860 удаа үзсэн ]
Зохиогч:  Жарг_л [ 8-р сар.08.08 10:03 am ]
Постын сэдэв: 
Энийг харж байгаад ганц хоёр аргаар туршиж үзээд амжилтанд хүрсэнгүй.
Тэгээд жоохон залхуу хүрээд байсан болохоор нь шууд google-дээд үзье гэж бодов. Google-дэх болсон гол шалтгаан нь ийм бэлэн скрипт-н код нь нэт байж л таараа кодыг нь харвал алдааг нь олж болно гэж бодосных билээ. Боломжгүй хэцүү код байсан ч хэн нэг нь энэ скриптийн нэг нүхийг нь олоод тавьчихсан л байж таараа. Бэлэн код юм чинь...

Хайлтын эхний хуудсанд л боломжийн үр дүнгүүд гарч байна. Эхнээс нь орж үзэж байтал надад хэрэгтэй үр дүн гараад ирлээ!

Хавсралтууд:
pic 13.jpg
pic 13.jpg [ 150.08 KiB | 66856 удаа үзсэн ]
Зохиогч:  Жарг_л [ 8-р сар.08.08 10:12 am ]
Постын сэдэв: 
Кодыг нь эхнээс нь гүйлгэж харж байгаад
Код:
$contents = file(password.txt);
мөрийг хараад гайхлаа. Ийм амархан газар нууц үгээ хиймээргүй юм гэж бодсон ч туршаад үзэхээр шийдэв.

Хавсралтууд:
pic 14.jpg
pic 14.jpg [ 122.82 KiB | 66805 удаа үзсэн ]
Зохиогч:  Жарг_л [ 8-р сар.08.08 10:14 am ]
Постын сэдэв: 
Арай ч ийм амархан олно гэж бодсонгүй...
MD5-р шифрлэсэн нууц үг байна. MD5-р шифрлэснийг нь өмнөх вэбийн кодноос харсан билээ.

Хавсралтууд:
pic 15.jpg
pic 15.jpg [ 63.92 KiB | 66796 удаа үзсэн ]
Зохиогч:  Жарг_л [ 8-р сар.08.08 10:16 am ]
Постын сэдэв: 
MD5-аар задлах гэсэн сүүлийн үед ороогүй болохоор нэг дажгүй сайтынхаа нэрийг нь мартчихаж, яг google дизайнтай сайт.
Дахиад google дээр энэхүү мөрийг бичив.

Хавсралтууд:
pic 16.jpg
pic 16.jpg [ 150.1 KiB | 66796 удаа үзсэн ]
Зохиогч:  Жарг_л [ 8-р сар.08.08 10:20 am ]
Постын сэдэв: 
txt файлаас хуулж авсан текстээ тэр DoIT-н өмнөх мөрөнд бичээд enter.

Тэгээд доорх үр дүн гарж ирэв. Сайтын админ вэб сайтаа анх суулгахдаа default өгсөн нууц үгийг нь солихгүй тэр чигээр нь орхисон байна. Тиймээс тоонууд байгаа юм. Энэ бол нийтлэг алдаа шүү. Та бүхэн цаашдаа үүнийг анхаарна бизээ.

Хавсралтууд:
pic 17.jpg
pic 17.jpg [ 116.58 KiB | 66794 удаа үзсэн ]
Зохиогч:  Жарг_л [ 8-р сар.08.08 10:22 am ]
Постын сэдэв: 
За одоо хамгийн гоё хэсэг нь. :lol:

Хавсралтууд:
pic 18.jpg
pic 18.jpg [ 92.39 KiB | 66781 удаа үзсэн ]
Зохиогч:  Жарг_л [ 8-р сар.08.08 10:25 am ]
Постын сэдэв: 
За одоо юу ч хийсэн болно шүү дээ.
Би лав хамгийн түрүүнд өөрийнхөө хуулсан файлуудаа устгав. :-D
Нууц үгийг нь cdeq0806 гэж солиод саакМН-ны JagaaRJ админы YM-р шинэ нууц үгийг нь явуулав. (ID-г саакМН сайтаас авав.)

Хавсралтууд:
pic 19.jpg
pic 19.jpg [ 169.28 KiB | 66780 удаа үзсэн ]
Зохиогч:  Жарг_л [ 8-р сар.08.08 10:33 am ]
Постын сэдэв: 
АС-д форумд бичих зорилгоор ингэснээ тайлбарлавал Админ нь уурлахгүйгээр сайхан хүлээж авсан явдалд талархав. :lol:
(Дажгүй залуу гэж надад санагдлаа. Дахиж сайтыг нь оролдохгүй ээ. :razz: )
Харин энэ бичлэгээрээ www.cdeq.mn-г үнэгүй сурталчилаад өгчихвүүдээ гэж бодож байна. :wink:

Одоо та бүхэнд гэрийн даалгавар өгнөө. Хичээлээ хэр сайн ойлгосныг нь шалгая.
Сайтын админ нь нууц үгээ 10 тэмдэгт болгосноо хэлээд мөн admin.php, password.txt файлаа өөрчилснөө мэдэгдэв.
Тэгэхээр та бүхэн одоо үүнийг олноо.

Хамгийн эхэлж олоод энд бичсэн хүнийг CAAK-н админ JagaaRJ шагнах байх гэж бодож байна. Амжилт хүсье. :wd:
Зохиогч:  Sroplayer1 [ 8-р сар.12.08 12:33 pm ]
Постын сэдэв: 
No3 дугаар дээрээ гэрийн даалгавараа хийж туслаач :-D
Зохиогч:  G@RID [ 8-р сар.20.08 11:31 pm ]
Постын сэдэв: 
Сайнуу ? та надад http://www.dursamj.mn/index.php?mm=1&op ... ss_id=1776

Нууц асуулт: manai angiin hamgiin goyo hos ? эний нууц хариултыг нь олоод өгөөч тэгэх үү ? маш хэрэгтэй байгаамаа :imhappy:
Зохиогч:  Кроникс [ 8-р сар.21.08 12:07 am ]
Постын сэдэв: 
Ишлэл:
Одоо та бүхэнд гэрийн даалгавар өгнөө. Хичээлээ хэр сайн ойлгосныг нь шалгая.
Сайтын админ нь нууц үгээ 10 тэмдэгт болгосноо хэлээд мөн admin.php, password.txt файлаа өөрчилснөө мэдэгдэв.
Тэгэхээр та бүхэн одоо үүнийг олноо.

Хамгийн эхэлж олоод энд бичсэн хүнийг CAAK-н админ JagaaRJ шагнах байх гэж бодож байна. Амжилт хүсье. :wd:
одоо бол admin.php -н оронд ямар нэр байгааг яаж олохын? тэгээд password.txt биш болсон бол тэр файлыг google -с хайгаад ч олдохгүйшд. :razz:
Зохиогч:  Baaska_UAS [ 8-р сар.28.08 4:37 pm ]
Постын сэдэв: 
HEY. Joomlag yaj hack dah we? Chaddag hun bnu?

Хавсралтууд:
untitled.JPG
untitled.JPG [ 16.17 KiB | 65918 удаа үзсэн ]
Зохиогч:  g108 [ 9-р сар.04.08 6:27 pm ]
Постын сэдэв:  site hack
Bayarlalaa!

Ih saihan hicheel bna. Odoo hamgaalalt iluutei site-uudiig hackdah talaar hicheel beldej taviach.
Зохиогч:  bonzi_z [ 9-р сар.19.08 1:21 pm ]
Постын сэдэв: 
bayarlalaa. 1 asuult bna. zaaval togtmol ip-tai baij baij proxygoo solih uu?
Зохиогч:  mystik [ 9-р сар.23.08 3:31 pm ]
Постын сэдэв: 
Hi all,

1 mgl site-iig hack hiij ogj tuslaach? Ted nar hunii heregtei hereggui zurag zovshoorolgui tavisan bna. Tgd zahia bichihed hariulahgui bna. Huuchin wordpress- deer bgaa bolhoor hack hiideg hun olon baigaa bizde?
Зохиогч:  TuRuu_XAC [ 10-р сар.21.08 5:07 pm ]
Постын сэдэв:  Wrong!!!!
Ишлэл:
АС-д форумд бичих зорилгоор ингэснээ тайлбарлавал Админ нь уурлахгүйгээр сайхан хүлээж авсан явдалд талархав. :lol:
(Дажгүй залуу гэж надад санагдлаа. Дахиж сайтыг нь оролдохгүй ээ. :razz: )
Харин энэ бичлэгээрээ www.cdeq.mn-г үнэгүй сурталчилаад өгчихвүүдээ гэж бодож байна. :wink:

Одоо та бүхэнд гэрийн даалгавар өгнөө. Хичээлээ хэр сайн ойлгосныг нь шалгая.
Сайтын админ нь нууц үгээ 10 тэмдэгт болгосноо хэлээд мөн admin.php, password.txt файлаа өөрчилснөө мэдэгдэв.
Тэгэхээр та бүхэн одоо үүнийг олноо.

Хамгийн эхэлж олоод энд бичсэн хүнийг CAAK-н админ JagaaRJ шагнах байх гэж бодож байна. Амжилт хүсье. :wd:

Ingehed neeree login page ni ymar addresstai baigaag zaagaad ugchihvul bi shagnal avlaa! :P
Зохиогч:  erka_korea [ 10-р сар.25.08 3:20 pm ]
Постын сэдэв:  hi
Жарг_лaa ih гоё ойлгомжтой тайлбаралсанд тань баяраллаа. их амархан ойлгохоор болжээ. :wd:
1 хуудас 7 Бүх цагууд UTC+09:00
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/