-
Tc4dy
OPSEC Specialist | Free internet - Open Source ADV
👑 ADMIN PANEL BULMA REHBERİ 2026 – 50+ YÖNTEM, 10 ARAÇ, 100+ DORK
🧠 BAŞLAMADAN ÖNCE: NEDEN ADMIN PANEL?
Admin panelleri, bir web sitesinin veya uygulamanın en kritik noktasıdır. Bu panellere erişen bir saldırgan:- Tüm kullanıcı verilerine ulaşabilir
- Site içeriğini değiştirebilir
- Veritabanını dökebilir
- Sunucuda komut çalıştırabilir
- Hatta tüm sistemi ele geçirebilir
🎯 1. GOOGLE DORK İLE ADMIN PANELİ BULMA (20+ DORK)
Google Dork, arama motoruna verdiğimiz özel komutlarla internette normalde ulaşamayacağımız sayfaları bulmamızı sağlar.1.1. Temel Admin Panel Dork'ları
text# En yaygın admin panel URL'leri
inurl:admin
inurl:login
inurl:admin/login
inurl:admin/index.php
inurl:admin/admin.php
inurl:admin/panel.php
inurl:admin/dashboard.php
inurl:admin/control.php
inurl:admincp
inurl:administrator
inurl:wp-admin
inurl:adminarea
1.2. Başlık Tabanlı Dork'lar
text# Sayfa başlığında admin kelimesi geçenler
intitle:"admin panel"
intitle:"admin login"
intitle:"login admin"
intitle:"administration"
intitle:"dashboard" inurl:admin
intitle:"control panel" inurl:admin
intitle:"welcome" inurl:admin
intitle:"management" inurl:admin
1.3. Dizin Listeleme Dork'ları (Açık Dizinler)
text# Dizin listeleme açığı olan admin klasörleri
intitle:index.of admin
intitle:index.of "admin" "parent directory"
intitle:index.of "administrator"
intitle:index.of "wp-admin"
intitle:index.of "admin/login"
1.4. CMS'ye Özel Admin Panel Dork'ları
text# WordPress
inurl:wp-admin
inurl:wp-login.php
intitle:"WordPress" inurl:wp-admin
# Joomla
inurl:administrator
intitle:"Joomla" inurl:administrator
# Drupal
inurl:user/login
inurl:admin/login
intitle:"Drupal" inurl:admin
# Magento
inurl:admin/admin
inurl:index.php/admin
# PrestaShop
inurl:admin-dev
inurl:admin123
1.5. Site Operatörü ile Hedefli Arama
bash# Belirli bir domainde admin paneli ara
site:hedef.com inurl:admin
site:hedef.com intitle:admin
site:hedef.com inurl:login
site:hedef.com "admin" "login"
1.6. Dosya Uzantısına Göre Arama
text# Admin paneli ile ilgili dosyalar
filetype
hp inurl:adminfiletype:asp inurl:admin
filetype:jsp inurl:admin
filetype:cfm inurl:admin
1.7. Hata Mesajlarından Admin Paneli Bulma
text# Hata mesajlarında admin paneli ipucu
"Warning: include(admin/" inurl
hp"Access denied for user" inurl:admin
"Fatal error" inurl:admin
🛠️ 2. ARAÇLARLA ADMIN PANELİ BULMA
2.1. Dirsearch – En Popüler Admin Panel Bulma Aracı
bash# Temel kullanım
dirsearch -u https://hedef.com -e php,asp,aspx,jsp,html -w /usr/share/wordlists/dirb/common.txt
# Admin odaklı wordlist ile
dirsearch -u https://hedef.com -w /usr/share/wordlists/dirb/big.txt -t 50
Simüle edilmiş çıktı:
text
[14:32:11] 200 - 5KB - /admin
[14:32:11] 200 - 8KB - /admin/
[14:32:12] 200 - 6KB - /admin/index.php
[14:32:15] 403 - 1KB - /admin/panel
[14:32:18] 200 - 12KB - /administrator
[14:32:20] 200 - 4KB - /login
[14:32:22] 200 - 7KB - /wp-admin
[14:32:25] 200 - 9KB - /admin/login.php
2.2. Gobuster – Hızlı ve Hafif
bashgobuster dir -u https://hedef.com -w /usr/share/wordlists/dirb/common.txt -t 100
2.3. FFuF – En Hızlı Fuzzing Aracı
bashffuf -u https://hedef.com/FUZZ -w /usr/share/wordlists/dirb/common.txt -c -t 200
2.4. Nmap ile Admin Paneli Keşfi
bash# HTTP başlıklarında admin paneli ipucu ara
nmap -p 80,443 --script http-title,http-headers hedef.com
# NSE script ile admin paneli tespiti
nmap -p 80,443 --script http-enum hedef.com
Simüle edilmiş çıktı:
text
PORT STATE SERVICE
80/tcp open http
| http-enum:
| /admin/: Possible admin folder
| /wp-admin/: WordPress admin
| /administrator/: Joomla admin
| /phpmyadmin/: phpMyAdmin
2.5. WhatWeb ile Teknoloji Tespiti
bashwhatweb https://hedef.com
Simüle edilmiş çıktı:
text
https://hedef.com [200] Apache[2.4.41], WordPress[6.0],
WP-Admin[wp-admin], Title[My Site - Just another WordPress site]
🔍 3. NSE (Nmap Scripting Engine) ile Admin Paneli Bulma
3.1. http-enum Script'i
bashnmap -p 80,443 --script http-enum --script-args http-enum.fingerprintfile=./admin-panels.txt hedef.com
3.2. Özel Admin Panel Wordlist'i Oluşturma
bash# En yaygın admin panel yolları
cat > admin_wordlist.txt << EOF
admin
admin/login
admin/index.php
admin/admin.php
admin/panel.php
admin/dashboard.php
admin/control.php
admincp
administrator
wp-admin
wp-login.php
login
signin
auth
secure
private
restricted
adminarea
backend
cpanel
webmail
plesk
phpmyadmin
adminer
EOF
🕵️ 4. OSINT YÖNTEMLERİYLE ADMIN PANELİ BULMA
4.1. Wayback Machine (Archive.org)
bash# Eski admin paneli kayıtlarını bul
curl "https://archive.org/wayback/available?url=hedef.com/admin"
4.2. GitHub Sızıntıları
bash# GitHub'da admin paneli ipucu ara
site:github.com "hedef.com" admin
site:github.com "hedef.com" "wp-admin"
4.3. Shodan ile Admin Paneli Bulma
bash# Shodan'da admin paneli arama
shodan search http.title:"admin" http.status:200
shodan search http.html:"admin login" port:443
4.4. SecurityTrails ile DNS Keşfi
bash# Alt alan adlarını bul (admin.hedef.com gibi)
securitytrails domain hedef.com --subdomains
🧪 5. MANUEL TEST YÖNTEMLERİ
5.1. Yaygın Admin Panel Yolları
text/admin
/administrator
/admincp
/adminarea
/backend
/control
/dashboard
/manager
/management
/admin/login
/admin/index.php
/wp-admin
/administrator/index.php
/user/login
/auth/login
/secure/admin
/private/admin
/restricted/admin
/internal/admin
/cms/admin
/portal/admin
/siteadmin
/webadmin
/serveradmin
/dbadmin
/phpmyadmin
/adminer
/pma
/sqladmin
/mysql
/panel
/cpanel
/whm
/webmail
/plesk
/directadmin
/ispconfig
/virtualmin
/vestacp
/ajaxplorer
/pydio
/nextcloud
/owncloud
/cloud
/storage
/backup
/tmp
/temp
/logs
/error
/debug
/test
/dev
/staging
/production
/old
/new
/archive
/hidden
/secret
/confidential
/internal
/restricted
/private
/secure
5.2. HTTP Metotları ile Test
bash# OPTIONS metodu ile izin verilen metotları öğren
curl -X OPTIONS https://hedef.com/admin -v
# PUT ile dosya yüklemeyi dene
curl -X PUT -d "test" https://hedef.com/admin/test.php
5.3. Başlık (Header) Analizi
bash# HTTP başlıklarında admin paneli ipucu
curl -I https://hedef.com/admin
📊 6. DİZİN LİSTELEME (INDEX OF) ZAFİYETİ
Dizin listeleme açığı olan sitelerde, admin panelleri ve hassas dosyalar doğrudan görüntülenebilir.6.1. Dizin Listeleme Dork'ları
textintitle:index.of admin
intitle:index.of "parent directory" admin
intitle:index.of "wp-admin"
intitle:index.of "administrator"
intitle:index.of "cpanel"
intitle:index.of "phpmyadmin"
intitle:index.of "backup"
intitle:index.of "config"
intitle:index.of "database"
intitle:index.of "password"
6.2. Dizin Listeleme Kontrolü
bash# Dizin listeleme açık mı?
curl https://hedef.com/admin/
Eğer çıktıda "Index of /admin" gibi bir mesaj görüyorsanız, dizin listeleme açıktır!
🎯 7. CMS'LERE ÖZEL ADMIN PANELİ BULMA
7.1. WordPress
text# WordPress admin paneli yolları
/wp-admin
/wp-login.php
/wp-admin/index.php
/wp-admin/admin.php
/wp-admin/network/
/wp-content/uploads/
/wp-content/plugins/
/wp-content/themes/
bash
# WPScan ile WordPress admin paneli tespiti
wpscan --url https://hedef.com --enumerate u
7.2. Joomla
text# Joomla admin paneli yolları
/administrator
/administrator/index.php
/administrator/login.php
/admin
/joomla/administrator
bash
# JoomScan ile Joomla admin paneli tespiti
joomscan -u https://hedef.com
7.3. Drupal
text# Drupal admin paneli yolları
/user/login
/user
/admin
/admin/login
/admin/dashboard
/node/add
bash
# Droopescan ile Drupal tespiti
droopescan scan drupal -u https://hedef.com
7.4. Magento
text# Magento admin paneli yolları
/admin
/admin/admin
/index.php/admin
/admin/admin_user
/admin/dashboard
7.5. PrestaShop
text# PrestaShop admin paneli yolları
/admin-dev
/admin123
/admin123456
/admin/login
/admin/index.php
🛡️ 8. GÜVENLİK DUVARI (WAF) KONTROLÜ
Admin paneli bulduğunuzda, karşınızda bir güvenlik duvarı olabilir. WAF kontrolü yapmayı unutmayın:bash
# WAF varlığını test et
wafw00f https://hedef.com/admin
📋 9. BULDUĞUNUZ ADMIN PANELİNİ TEST ETME
Admin paneli bulduktan sonra, zayıf şifre veya varsayılan giriş bilgilerini deneyin.9.1. Varsayılan Giriş Bilgileri
text# En yaygın varsayılan kullanıcı adları ve şifreler
admin:admin
admin
asswordadmin:123456
admin:1234
admin:admin123
root:root
root
asswordadministrator:administrator
user:user
test:test
9.2. Hydra ile Brute Force
bash# Admin paneline brute force saldırısı
hydra -l admin -P /usr/share/wordlists/rockyou.txt hedef.com http-post-form "/admin/login.php:username=^USER^&password=^PASS^:Login failed"
🧩 10. ÖZET – EN İYİ ADMIN PANELİ BULMA YÖNTEMLERİ
| Yöntem | Araç | Hız | Etkinlik |
|---|---|---|---|
| Google Dork | Browser | Çok Hızlı | Yüksek |
| Dirsearch | CLI | Hızlı | Çok Yüksek |
| Gobuster | CLI | Hızlı | Yüksek |
| Nmap NSE | CLI | Orta | Yüksek |
| Wayback Machine | Web | Yavaş | Orta |
| GitHub | Web | Yavaş | Orta |
| Shodan | Web | Hızlı | Yüksek |
| Alt Alan Adı | CLI | Hızlı | Çok Yüksek |
🚀 11. OTOMASYON İPUÇLARI
11.1. Tüm Araçları Tek Komutta Birleştirme
bash# Admin paneli bulma için otomasyon script'i
#!/bin/bash
DOMAIN=$1
echo "[+] Hedef: $DOMAIN"
echo "[*] Google Dork ile aranıyor..."
# (manuel yapılmalı)
echo "[*] Dirsearch ile taranıyor..."
dirsearch -u https://$DOMAIN -w admin_wordlist.txt -o dirsearch.txt
echo "[*] Nmap ile taranıyor..."
nmap -p 80,443 --script http-enum $DOMAIN -oN nmap.txt
echo "[*] Alt alan adları taranıyor..."
subfinder -d $DOMAIN -silent | httpx -path /admin -status-code
11.2. Wordlist Oluşturma
bash# Özel admin paneli wordlist'i oluştur
crunch 4 8 abcdefghijklmnopqrstuvwxyz -o admin_wordlist.txt
🔚;
Artık admin paneli bulmak için 10'dan fazla yöntemi biliyorsunuz. Google Dork'tan dirsearch'e, Nmap'ten OSINT'e kadar her tekniği kullanarak hedef sitelerin en kritik noktalarına ulaşabilirsiniz.Bu rehber, eğitim ve farkındalık için yazılmıştır. Yetkisiz erişim yasa dışıdır. Tüm sorumluluk kullanıcıya aittir.
@Tc4dy | github.com/tc4dy
Son düzenleme:
💬 SpyHackerz Telegram — Anlık tartışmalar ve duyurular için katıl
