Sitelere izinsiz giriş yapmak için gerekli olan ilk kısım admin panelidir. Admin Paneli’nin bulunmasını zorlaştırmak güvenliğin artırması için önemli bir adımdır. Sitenin veritabanı açığını kullanarak admin kullanıcı adı ve şifresini çekebilen ama admin giriş sayfasını bulamadığı için siteye giremeyen bir çok noop lamer vardır.
Yani demem o ki eğer kapıyı iyi kitleyemiyorsanız, kapıyı saklayın 🙂
Bilinen ve sık kullanılan admin panel bulma yöntemlerini paylaşacağım. Bu yöntemlerle arama yapıldığında bulunamayan bir yönetici panel linki seçerseniz ilk tabaka ataklarından kurtulursunuz.
1- Çok eski ama nadirde olsa işe yaran bir yöntem
www.siteadi.com/robots.txt
www.siteadi.com/sitemap.xml
Direk arama çubuğuna yazılıp yönetici panel giriş linklerine bakılır.
2- Terminale;
1 |
dirb www.siteadi.com |
yazılıp aratılır.
3- Terminale;
1 |
uniscan -u site.com -qweds |
yazılıp aratılır. Biraz uzun sürebilir tüm bilgileri döker.
4- WebSploit
WebSploit yüklenir ve terminale sıra ile şu kodlar yazılır:
githubdan yükleme linki:
https://github.com/fatihyldrim/WebSploit
1 2 3 4 5 6 7 8 9 10 11 |
websloit show modules use web/pma show options set target http://siteadi.com run |
Arama işleminden sonra eğer 202 yazan link varsa admin paneli bulunmuştur.
5- Admin Finder
Perl dili ile yazılan Admin Finder yüklenir.
githubdan yükleme linkine buradan ulaşabilirsiniz. Yada direk konsoldan yükleme yapabilirsiniz. Konsoldan yapmak için gerekli kodlar;
1 2 3 4 5 6 7 |
git clone https://github.com/HackerAdana/pl-admin-finder.git cd pl-admin-finder chmod +x admin.pl perl admin.pl |
yükleme yapılıp çalıştırıldıktan sonra site yazılır ve arama başlatılır.
6- Google dork kullanarak
En kolayı ve kullanışlısıdır. Neredeyse tüm admin panel bulucularının yaptığı işi yapabilir. Ama genede örnek olması için 2 tanesini 4. ve 5. madde anlattım.
Google’da sitenin admin panelini bulmak için Google arama çubuğuna:
1 2 |
inurl:'www.siteadi.com' & inurl:'admin' inurl:'www.siteadi.com' & inurl:'yonetici' |
şeklinde arama yaparak admin paneli bulunabilir. Yabancı dilde yapılan siteler için ek olarak o dilin yönetici karşılığı yazılarak da aranır.
Genelde kullanılan yöntemler bu şekildedir. Bir çok admin panel bulucu programı var ama hemen hemen hepsi aynı, bunlara yakalanmamanız ilk aşama için yeterlidir.
Not: Kali Linux işletim sistemine göre anlatılmıştır. Tüm linux dağıtımlarında çalışır.
birşey sorucam admin paneli şifresini nasıl bulabiliriz bunu icinde bir yöntem varmı riça edersem lütfen
Direk şifreyi bulmak kolay değildir. Sql injection ile bypass login yöntemlerine bakabilirsiniz.
‘=”or’ bu şekilde kırabilirsin
Yani eğer admin paneli üzerinden bir saldırı girişimi yapılacaklasa paneli saklamak mantıklı . Ama bulmak isteyen illaki bulur
Bunlara yakalanan çoğu site zaten sql bypass yiyor 🙂
Google dork en iyisi. Direk çıkartır.
biraz daha profesyonel kaliteli yöntemler arıyorum.bunlar daha ilk aşama. nelere bakmalıyım sizce
Herkesin yaptığı bunlar zaten
Çözemediğim bir sorunum var.
Login url mi gizledim. Sunucu firmamdan url ye sadece beni ip adresime izin vermelerini söyledim. Giriş yapıldığında ve ya yapılmaya çalışıldığında mail gönderiyorum.
Ve sürekli failed login maili geliyor. Nasıl giriş yapabilir ki ben telefondan bile login urlye ulaşamıyorum.
Bunun bir çok sebebi olabilir. Giriş işlemi sadece girş sayfasından yapılmaz. Eğer hazır sistemler kullanıyorsanız worpdress joomla gibi kendilerine ait apileri vardır. Api üzerinden giriş denemesi de giriş fonksiyonunu çalıştırır. Veya eklentiler üzerinden giriş denemesi yapılabilir. Başka sebepleri de olabilir sisteme hakim biri tarafından detaylı incelemek gerekir.
Ben wordpress kullanıyordum ve aynı sorun ile karşılaşmıştırm. Fatih hocamın dediği doğru api üzerinden istek geliyor. Api leri de dışarıya kapattım ve saldırılar durdu.
abi google dork demişsin direk arama çubuğunda inurl:’www.siteadi.com’ & inurl:’admin’ şu şekilde arayın demişsin ama aradık çıkmadı bunun hakkında hi.birşey yok diyor diğer linkide denedim ama olmadı admin paneline nasıl ulaşabilirim cevap verirsen teşekkürler kolay gelsin :))
Bu yöntemlerden bir tanesi. Eğer google admin sayfasını indexlediyse çıkar. İndexlemediyse çıkmaz. Başka yöntemlere bakman gerekli.
Hocam eski çalışanımızın açtığı bir site var http://www.motorcunuz.com adıyla panel girişini yöntemlerinizi uygulayarak bulamadım varmı bir tavsiyeniz.