Hayatımda ve arkadaş ortamımda bayağı bir gurur duyduran bi olay olmuştu
4-5 yıllık bir grup olay ise 2 yıl önce oluyor. yine sohbet muhabbet dönerken Y isimli arkadaşım okuduğu okulda nisagül olduğunu söyledi (deha veledinin manitasi) okulu sorduğumda okulun adını söyledi google'dan baktım ve anlattığına göre de büyük lüks ve şaşalı bir okul ta 2 yıl önce yıllığı 140.000TL olan bir okul ama güvenlik mi? rezalet.
siteyi az-buz konuyu yazarken bile inceledim yine SQL açığı buldum
max turk sec
siteye girdiğimde rewrite kurallarını gördüm kadro sayfasını gözüme kestirdim
(
https://www.erciyeskoleji.com/kadro/idari-kadro)
kadro.php?tur=idari-kadro
kadro.php?kadro=idari-kadro
kadro.php?id=idari-kadro
vs denedim hiç birinde sql hatası alamadım parametresiz olarak açtığımda bütün kadrodakilerin gittiğini gördüm ve id kısmında idari kadro yerine 1 koydugumda sayfa düzeldi ama kadrolar gelmedi tırnak koyunca da sql hatası aldığımda sql açığını tespit etmiş oldum.
kadro.php?id=1 de hata aldım ve veritabanına erişim kazandım
ne os-shell ne sql-shell çalışıyordu ama veritabanında şifreleme yoktu.
öğretmenlerin şifreleri 123456 iken en yetkili kullanıcı "admin" in şifresi erc*123 'tü
dandik bir okul sitesidir vs diye çok uğraşmadım arkadaşıma puan ekledim ve istediği bir kaç öğrencinin vesikasına baktım ve panelden çıktım
günlerden bir gün bu kızı çekip demişler ki okulun web paneli ile şöyle böyle vs oldu senin bir işin var mı cart curt orada benim yaptığımı anlıyor ve bana ulaşıyor eve gidince
korktuğunu söyledi olan puan muhabbeti vs komik bir olay olmuştu puanı kontrol ettiğimde kaldırmışlardı ama panelde daha önce farketmediğim bir şey farketmiştim
sms gönder butonu vardı
netgsm üzerinden çekilmiş bir api ile tüm velilere mesaj gönderilebiliyordu bende yaptım şovumu
yargı modunu aktif edip güzel bir reklam + eğlence oldu
okul böyle bir bilgilendirme yaptı veli gruplarına aynı gece 1 saat içinde panel dizini silindi ve kadro.php nin açığı kapatılmış duruyordu okulda da saldıran kişi yakalandı cart curt şeyler ile açıklama yapıldı kolpaydı tabii ki
okulda çokça kişi yapılanı üzerine alınmış ben yaptım cart curt yakalandı diyenler olmuş bu da 2. ateşi fitilleyen şey oldu
iletişim kısmına cookie stealing kodumu yazdım ve gönderdim 2 gün sonra admin cookiesi bana düştü
girdiğim kişinin hesabı yetkisiz dandik bir şeydi kantin sayfası ve yemek listesi vardı bir dee sınıf ismi düzenleme vardı
hemen oraya da stealing kodumu koydum
bir bir üst yetkililerin çerezini topladım ve en sonunda yine en yetkili kullanıcıya eriştim ve indexi siteye yapıştırdım
fenasal eğlenceliydi sisteme girince tum öğretmen maillerini de alıp 2-3 öğretmen'de ratlayıp k12 sistemlerine girip her yeri darmadağın ettim
elbette xss açığını da kapattılar fakat elimde hala rat logları var fakat daha uğraşmaya değmez bir de size şöyle bir şey göstereyim
bizim teyyipin okula gönderdiği mektup
tesadüf mü?
sistemde 2 açık sqli+xss mevcuttu asla shell yüklenmiyordu ama ikisi de kritik açıktı kolej içerisinde hayvanat bahçesi yerine onun yüzde beşini güvenliğe harcasa bunlar olmayacaktı
iyi akşamlar imt
