%100 Admin Panel Bulma (İnce Ayrıntılarıyla)

Discussion in 'Hack Dökümanları - Hack Articles' started by jrCoder, May 10, 2019.

  1. jrCoder

    jrCoder

    Mesajlar:
    7
    Likes Received:
    13
    [​IMG]
    1- Robots.txt Kontrolü
    hedefsite.com/robots.txt (✔) [1. başlığın içeriğini okuyunuz.]
    hedefsite.com/robots.txt (✖) [2. başlığa geçiniz.]

    Robots.txt yi hedef sitede bulundu kontrol ediceklerimiz admin,panel,cms,login vb
    Robots.txt de admin paneliyle alakalı hiç bir sayfa bulamadım (2. başlığa geçiniz)


    2- Acunetix Web Scanner
    hedefsitemiz.com > Url kısmına yazılır next diyerek taramaya başlananır.
    Dikkat etmemiz gereken İNFO
    (password type input with auto-complete enabled)
    [​IMG]

    HTML:
    <input type="password" id="pass" name="password"
               minlength="8" required>

    + Tipi password olan inputları acunetix otomatik olarak info verir dosyaların adına tek tek bakmak yerine bu infodan kolayca panele ulaşabiliriz.


    3- Admin Panel Finder Yazılımları
    Githubda bulunan (Python,Ruby,Perl) ile yazılmış açık kaynak geliştirilebilir programlar ve
    Forumda bulunan (VB.Net,C# vb) ile yazılmış programlar dan yararlanabilirsiniz.

    3.1 - Mantığı Nedir?
    Belirlediğiniz txt deki panel adlarını sizin yerinize otomatik tarar.

    Bunun yanında bazıları ayrıca robots.txt de kontrol eder
    ör: hedefsite.com/admin123.php 404
    hedefsite.com/adminadmin 404
    hedefsite.com/adminpanelicms bulundu !



    4- Hepsini Denedim Bulamadım

    Bazı kodlanan sistemlerde panel şu şekilde gizlenir.
    Elimizde üyelerin veya ziyaretçilerin girdiği login.php var diyelim
    Elimizde olan admin id ve pass ını neden üyelerin girdiği yere girelim diyorsunuz değil mi ?


    Veritabanımızda şöyle bir şey düşünelim
    id:1 uyeadi12
    id:2 uyeadi13
    id:9 admin
    id:3 uyeadi15


    + Sadece İD:'si 9 olarak atanan admin normal üyeler gibi login.php den girerek /panel.php yi görüntüleyebilir.
    + İD:'si 9 olmayan üyeler veya giriş yapmadan panele erişmek isteyenler ise /panel.php'yi 404 olarak görürler



    Warning: Acunetix Hakkında
    + Siz siteyi tararken eğer hedefsitenin =get açıkları varsa acunetix otomatik form doldurup sürekli göndererek ve şifreli resimler upload edip paneli şişirebilir.

    + Tarama esnasında tarama durursa büyük bir ihtimalle sunucu firewall'ı aşırı istekden dolayı İP nizi black liste almıştır.
    (Genelde Taramayı Kesen Sunucu: LiteSpeed)


    saygılarımla jrCoder
     
    Nobody likes this.
  2. Nobody

    Nobody Bafi

    Mesajlar:
    2,993
    Likes Received:
    4,891
    eline sağlık süper konu
     
  3. TurkBros

    TurkBros

    Mesajlar:
    229
    Likes Received:
    276
    site: site.com/ Admin Login
    Googleye yazıp bulabiliriz
     
Loading...

Bu sayfayı Paylaş