Joined
May 10, 2019
Credits
0
Rating - 0%
login.gif

Hedef sitemizin admin bilgileri elimizde ama paneli hiç bir şekilde bulamıyoruz o zaman başlıyalım

1- Robots.txt Kontrolü
hedefsite.com/robots.txt (✔) [1. başlığın içeriğini okuyunuz.]
hedefsite.com/robots.txt (✖) [2. başlığa geçiniz.]

Robots.txt yi hedef sitede bulundu kontrol ediceklerimiz admin,panel,cms,login vb
Robots.txt de admin paneliyle alakalı hiç bir sayfa bulamadım (2. başlığa geçiniz)


2- Acunetix Web Scanner
hedefsitemiz.com > Url kısmına yazılır next diyerek taramaya başlananır.
Dikkat etmemiz gereken İNFO
(password type input with auto-complete enabled)
1680kp.png


HTML:
<input type="password" id="pass" name="password"
           minlength="8" required>

+ Tipi password olan inputları acunetix otomatik olarak info verir dosyaların adına tek tek bakmak yerine bu infodan kolayca panele ulaşabiliriz.


3- Admin Panel Finder Yazılımları
Githubda bulunan (Python,Ruby,Perl) ile yazılmış açık kaynak geliştirilebilir programlar ve
Forumda bulunan (VB.Net,C# vb) ile yazılmış programlar dan yararlanabilirsiniz.

3.1 - Mantığı Nedir?
Belirlediğiniz txt deki panel adlarını sizin yerinize otomatik tarar.

Bunun yanında bazıları ayrıca robots.txt de kontrol eder
ör: hedefsite.com/admin123.php 404
hedefsite.com/adminadmin 404
hedefsite.com/adminpanelicms bulundu !



4- Hepsini Denedim Bulamadım

Bazı kodlanan sistemlerde panel şu şekilde gizlenir.
Elimizde üyelerin veya ziyaretçilerin girdiği login.php var diyelim
Elimizde olan admin id ve pass ını neden üyelerin girdiği yere girelim diyorsunuz değil mi ?


Veritabanımızda şöyle bir şey düşünelim
id:1 uyeadi12
id:2 uyeadi13
id:9 admin
id:3 uyeadi15


+ Sadece İD:'si 9 olarak atanan admin normal üyeler gibi login.php den girerek /panel.php yi görüntüleyebilir.
+ İD:'si 9 olmayan üyeler veya giriş yapmadan panele erişmek isteyenler ise /panel.php'yi 404 olarak görürler



Warning: Acunetix Hakkında
+ Siz siteyi tararken eğer hedefsitenin =get açıkları varsa acunetix otomatik form doldurup sürekli göndererek ve şifreli resimler upload edip paneli şişirebilir.

+ Tarama esnasında tarama durursa büyük bir ihtimalle sunucu firewall'ı aşırı istekden dolayı İP nizi black liste almıştır.
(Genelde Taramayı Kesen Sunucu: LiteSpeed)


saygılarımla jrCoder
 

Users who are viewing this thread

Top