Admin panel giriş bilgilerini nasıl bulurum?
- Konuyu başlatan Homax
- Başlangıç tarihi
Varsa veritabanından bulacaksın onun harici brute force ama çok bir işe yaramaz.
Sitenin domain kısmına örneksite/admin/ veya örneksite/login/ gibi parametreler ile bulabilirsin. Şöyle örnek vereyim resimli bir şekilde.
Edit; Soruyu tam okumamıştım kusura bakma
SQL açığı varsa veri tabanından bilgileri çekip admin olarak giriş yapabilirsin. Bunun için Sqlmap kullanabilirsin fakat bilgin yoksa terminalde akan yazıları okuyup anlaman gerekiyor bu da işleri zorlaştırıyor. Anlamak için konuya hakim olman gerekiyor. Ayrıca ingilizce de gerek. Ben sana başlangıç olarak manuelsSQL öneririm. Hem SQL mantığını, veri çekme mantığını, hemde waf gibi güvenlik konularını da öğrenmiş olursun. MD5 gibi veri şifreleme gibi konularda da bilgi sahibi olursun. Nasıl ByPass edeceğini öğrenirsin.
Edit; Soruyu tam okumamıştım kusura bakma
SQL açığı varsa veri tabanından bilgileri çekip admin olarak giriş yapabilirsin. Bunun için Sqlmap kullanabilirsin fakat bilgin yoksa terminalde akan yazıları okuyup anlaman gerekiyor bu da işleri zorlaştırıyor. Anlamak için konuya hakim olman gerekiyor. Ayrıca ingilizce de gerek. Ben sana başlangıç olarak manuelsSQL öneririm. Hem SQL mantığını, veri çekme mantığını, hemde waf gibi güvenlik konularını da öğrenmiş olursun. MD5 gibi veri şifreleme gibi konularda da bilgi sahibi olursun. Nasıl ByPass edeceğini öğrenirsin.
Son düzenleme:
- Konuyu başlatan
- #5
Teşekkürler efendim pek bilgim olmasada admin paneli bulmayı başardım plesk ile yapılmış sitenin kendisinin sql açığı yok bence bir şirket sitesi güzel korunuyor hem ip ban atıyor sql testi yaparken daha fazla ayrıntılı yardımcı olurmusunuz? LütfenSitenin domain kısmına örneksite/admin/ veya örneksite/login/ gibi parametreler ile bulabilirsin. Şöyle örnek vereyim resimli bir şekilde.
Edit; Soruyu tam okumamıştım kusura bakma
Rica ederim, Şirket sitelerinin güvenliği yüksektir. Yazılımcıları açık olmaması ve ileride de açık olmaması için iyi kod yazarlar. Düzenli olarak da güvenlik açığı testleri yapan ekipler vardır. Durumu rapor edip, açık türlerini belirtirler yazılımcılar da hızlı bir şekilde açığı kapatırlar.
Sadece SQL'e odaklanma. XSS açığı, APİ açığı, FTP açığı gibi açık türlerine de bak olacağını sanmıyorum ama denemekten zarar gelmez. Gizlilik de önemlidir. Şirket sitesi diyorsun ve hadi diyelim siteye admin olarak girdin ve hiç bir gizlilik önlemi almadın. Senin orjinal İP adresin sitenin sunucularına kayıt olur ve yakalanırsın. VPN, VDS, Proxy gibi gizlilik araçları da önemlidir.
A
AXON DATAREL
Ziyaretçi
Birden fazla açık türü vardır c panel ne kadar eskiyse o kadar fazla açık vardır bazı c panel açıklarında komple çökebilirsin c panelin üzerine veya açık yoksa John the ripper veya metasploit kullanirsin
- Konuyu başlatan
- #11
Teşekkürler efendim, ben vpn kullanıyorum zaten ip her zaman değişiyor, sql açığı olmadığını biliyorum ben bu siteye sızmalıyım başka bir yolu yok. Admin panele kadar buldum herşeyi Plesk adlı site tarafından yapılmış admin paneli. FTP açığı nasıl yakalanır peki? FTP hakkında bilgim yok. TEŞEKKÜRLER.
Rica ederim, FTP dediğimiz şey bir sunucu bir server. Ve Web sitesine dosyalar, resimler, yazılar, kaynak kodlarını gönderebilmemiz için veya siteyi farklı bir siteye taşımak için kullanılan bir sunucu.
FileZilla kullanarak yapılıyor genelde sende kurcalayarak mantığını anlayabilirsin. Şifre kullanıcı adı vs gerekiyor onu da zaten hosting firması veriyor. Açık yakalama kısmını sana bırakıyorum kendin araştır böylece daha rahat öğrenirsin.
Rica ederim. Siteye genel olarak bir açık taraması yap, sadece sql ile kalma. XSS, FTP, Sunucu açığı, APİ açığı gibi frontend ve backend taraflı açıkları inceleyebilirsin. Eğer ulaşabilirsen kaynak kodlarını incele bir hata yakalarsan kendi zararlı yazılımını enjekte edersin.Çok sağolun efendim
