Çok eski bir web tarayıcısı kullanıyorsunuz. Bu veya diğer siteleri görüntülemekte sorunlar yaşayabilirsiniz.. Tarayıcınızı güncellemeli veya alternatif bir tarayıcı kullanmalısınız.
Nasıl oldu? Bir gün, Okulumdayken hocalar meb.gov.tr'den bir subdomainde gezinmemizi söylemişti. Bende, oradan bir link buldum meb'in başka bir subdomainine yönlenen. Daha sonra, login.php'i olduğunu gördüm ve hemen başladım.
Ne Yaptım? Login bypass taktiklerinden artık efsaneleşen "OR" "=" taktiğini k.adı ve şifre yerine girince otomatik olarak sistem admini olarak giriş yaptım.
Bu girişi yaptıktan sonra, ilk resimde gördüğünüz gibi benden İL, İLÇE, OKUL seçmemi istedi. Kabul, seçtik. Seçtiğimde gördüm ki, belirtilen okulun hocalarının tc kimlik numaraları listeleniyor.
Peki, Sadece şehri veya ilçeyi seçtiğimizde ne mi oluyor?İl veya İlçe eğitim müdürlüğü müdürünün tc kimlik numarasını ele geçirmiş oluyoruz. 81 İlin tüm okulları ve tüm müdürlüklerin bilgileri mevcuttu.
Bu bilgilerden işe yaramayan tek şey şifrelerdi çünkü auto oluşturulan "123456" gibi şifrelerdi fakat zaten bu önemli değil. TC Kimlik numarası ile bile bir çok işlem gerçekleştirebilirsiniz.
Fakat aklıma takılan şey, okulun pc'sinde, bu açığı bu biçimde bulmam. Yani, her şey aşırı kolay olmuştu. İçime düşen bir kuşku sonrası aniden geçmişi çerezleri vs. sildim. Sildikten sonra, müdür yardımcısı, il eğitim müdürü ve bir siber ekip pc bölümünün odasını basıp tüm bilgisayarları kontrol etti fakat ucuz atlattım. Güvenliğinizi sağlamadan, hiçbir şekilde hareket etmeyin. Yoksa benim gibi, az daha paket olabilirsiniz.
