admin-paneli

Sitelere izinsiz giriş yapmak için gerekli olan ilk kısım admin panelidir. Admin Paneli’nin bulunmasını zorlaştırmak güvenliğin artırması için önemli bir adımdır. Sitenin veritabanı açığını kullanarak admin kullanıcı adı ve şifresini çekebilen ama admin giriş sayfasını bulamadığı için siteye giremeyen bir çok noop lamer vardır.

Yani demem o ki eğer kapıyı iyi kitleyemiyorsanız, kapıyı saklayın 🙂

Bilinen ve sık kullanılan admin panel bulma yöntemlerini paylaşacağım. Bu yöntemlerle arama yapıldığında bulunamayan bir yönetici panel linki seçerseniz ilk tabaka ataklarından kurtulursunuz.


1- Çok eski ama nadirde olsa işe yaran bir yöntem

www.siteadi.com/robots.txt

www.siteadi.com/sitemap.xml

Direk arama çubuğuna yazılıp yönetici panel giriş linklerine bakılır.


2- Terminale;

yazılıp aratılır.


3- Terminale;

yazılıp aratılır. Biraz uzun sürebilir tüm bilgileri döker.


4- WebSploit

WebSploit yüklenir ve terminale sıra ile şu kodlar yazılır:

githubdan yükleme linki:
https://github.com/fatihyldrim/WebSploit

Arama işleminden sonra eğer 202 yazan link varsa admin paneli bulunmuştur.


5- Admin Finder

Perl dili ile yazılan Admin Finder yüklenir.

githubdan yükleme linkine buradan ulaşabilirsiniz. Yada direk konsoldan yükleme yapabilirsiniz. Konsoldan yapmak için gerekli kodlar;

yükleme yapılıp çalıştırıldıktan sonra site yazılır ve arama başlatılır.


6- Google dork kullanarak

En kolayı ve kullanışlısıdır. Neredeyse tüm admin panel bulucularının yaptığı işi yapabilir. Ama genede örnek olması için 2 tanesini 4. ve 5. madde anlattım.

Google’da sitenin admin panelini bulmak için Google arama çubuğuna:

şeklinde arama yaparak admin paneli bulunabilir. Yabancı dilde yapılan siteler için ek olarak o dilin yönetici karşılığı yazılarak da aranır.


Genelde kullanılan yöntemler bu şekildedir. Bir çok admin panel bulucu programı var ama hemen hemen hepsi aynı, bunlara yakalanmamanız ilk aşama için yeterlidir.


Not: Kali Linux işletim sistemine göre anlatılmıştır. Tüm linux dağıtımlarında çalışır.

14 YORUMLAR

  1. Çözemediğim bir sorunum var.

    Login url mi gizledim. Sunucu firmamdan url ye sadece beni ip adresime izin vermelerini söyledim. Giriş yapıldığında ve ya yapılmaya çalışıldığında mail gönderiyorum.

    Ve sürekli failed login maili geliyor. Nasıl giriş yapabilir ki ben telefondan bile login urlye ulaşamıyorum.

    • Bunun bir çok sebebi olabilir. Giriş işlemi sadece girş sayfasından yapılmaz. Eğer hazır sistemler kullanıyorsanız worpdress joomla gibi kendilerine ait apileri vardır. Api üzerinden giriş denemesi de giriş fonksiyonunu çalıştırır. Veya eklentiler üzerinden giriş denemesi yapılabilir. Başka sebepleri de olabilir sisteme hakim biri tarafından detaylı incelemek gerekir.

    • Ben wordpress kullanıyordum ve aynı sorun ile karşılaşmıştırm. Fatih hocamın dediği doğru api üzerinden istek geliyor. Api leri de dışarıya kapattım ve saldırılar durdu.

  2. abi google dork demişsin direk arama çubuğunda inurl:’www.siteadi.com’ & inurl:’admin’ şu şekilde arayın demişsin ama aradık çıkmadı bunun hakkında hi.birşey yok diyor diğer linkide denedim ama olmadı admin paneline nasıl ulaşabilirim cevap verirsen teşekkürler kolay gelsin :))

CEVAP VER

Yorum yazın
Lütfen adınızı buraya giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.