Güvenlik İpuçları

Shell Nedir ? Ne İşe Yarar ?

Shell web sitelerinden habersiz durumda belli yetkiler kazanmak için yazılan bir çeşit sızma testi olarak nitelendirilebilien kod modülleridir.

Shell, İnternet sitelerinde belirli yetkileri almamızı sağlayan bir kod dizindir. Neden tam yetki alamıyoruz tarzı sorular yöneltiliyor. Tam yetki almamız için sitenin kullandığı hosting hizmetine root olmamız gerekiyor. Peki “root olmak nedir ?”  diye sorarsanız root, sitenin kullandığı hosting şirketine sitenin kullanıcı adına ve şifresine sahip olarak girmek ve daha sonra bilgileri değiştirerek kendi üzerimize almaktır. Bu durumu gerçekleştirirsek tam yetkimiz olmuş olur. Root olmadan alabileceğimiz bazı yetkiler okuma, yazma ve silme olarak belirtebiliriz.

Shell Ne İşe Yarar ?

Üst paragrafta da belirttiğimiz üzere sıradan bir Shell attığımızda okuma yazabilme ve silme gibi yetkileri elimize alabiliyoruz. Bu yetkiler ise bize arka planda çalışan kodlara erişim, içerideki mesaj trafiğini görüntüleyebilme gibi olanaklar sağlar. Eğer Shell atma işlemi bilmeyen birisi tarafından atılırsa veya kötü niyetli bir iş için kullanılacaksa ciddi zarar görülebilir. O yüzden sadece güvenlik amaçlı kullanılmalıdır.

Shell Nasıl Atılır ?

Shell’in nasıl atıldığını bilmek için önce belli başlı site açıklarından yararlanmamız lazım. Bu site açıklarını uzun uzun anlatmayacağım ama daha sonra bir konu daha açıp yazmayı planlıyorum.

1-Remote File İnclusion

Remote ,uzaktan, file inclusion ise dosya ekleme yani dolayısıyla uzaktan dosya ekleme manasına gelir. Uzaktan erişimle dizin altına dosya ekleyebilme ve veritabanlarına erişebilme yetkisi alabilirsiniz.

2-SQL İnjection

Web uygulamalarında kullanıcı verileri genelde dinamik SQL verileri olarak tutulur. Kısa sorgular yaparak kullanıcı adı ve şifreyi öğrenmemize yarar. En ünlü örneği kullanıcı adı ve parola karşılaştırma sorgularının cevaplarına “or 1=1” yazarak bilgileri almaktır. Burada yapılan sorgunun amacı şudur;

Bilgisayara kullanıcı adı 1, 1’e eşit midir diye soruyoruz. Aynı işlem şifre için de geçerli oluyor. Bilgisayar iki değeri de true döndürdüğü için belirttiğimiz id deki kullanıcının hesabına giriş yapmış oluyoruz.

3-)Exploit

Exploit, sistemde oluşan açığı sahibine bildirmeye yarayan kod parçalarıdır. Yazması kolay değildir. İleri derecede kodlama bilgisi gerektirir. Kesin sonuç döndürür.

 4-Sosyal Mühendislik

Sosyal mühendislik, bir nevi karşınızdaki insanı etkileme sanatıdır. Genellikle yapması zordur. Yapabilmeniz için ikna ve manipülasyon becerinizin üst düzey olması gerekir.

5- Upload Açıkları, Logger ve Spy Yazılımları

 

Eklemek istediğiniz yerler olursa yorum atarak bize bildirebilirsiniz. Yayınlarımızdan ilk olarak siz haberdar olmak isterseniz sağ üst tarafta yer alan mail aboneliği kısmından abone olabilirsiniz.



Yazar hakkında

Furkan Baycan

Furkan Baycan

Güvenlik ve Web Programcılığı alanında çalışıyorum. Bu alanlarda da
sizler için mutfakta yazılar yazıyorum. Siz de çok değerli projeleriniz ve yorumlarınızla mutfağa katkıda bulunabilirsiniz.

Yorumlar

Bir yorum yaz