Sızma Testleri Wordpress şifresi nasıl kırılır?

[bayalpaslan08]

Arkadaşlar benim elimde admin paneline kadar bildiğim bir site var. Hatta ve hatta kullanıcı adını dahi biliyorum fakat şifresini bilmiyorum. Bu şifreyi nasıl kırabilirim? Ancak Wordpress sitesi bu site. SQL enjeksiyonu falan yardımcı olabilir mi? Daha çok yeniyim bu işlerde. Yardımcı olursanız çok mutlu olurum..

 

[Enistein]

Arkadaşlar benim elimde admin paneline kadar bildiğim bir site var. Hatta ve hatta kullanıcı adını dahi biliyorum fakat şifresini bilmiyorum. Bu şifreyi nasıl kırabilirim? Ancak Wordpress sitesi bu site. SQL enjeksiyonu falan yardımcı olabilir mi? Daha çok yeniyim bu işlerde. Yardımcı olursanız çok mutlu olurum..

Merhaba,

Sadece paneli bilmek birşey ifade etmez. Zaten wordpress panelleri genellikle /wp-admin dizininde bulunur. Wordpress brute force veya ilgili wordpress sürümü ve eklentilerinde geçmişte ortaya çıkan zaafiyetleri araştırıp, websitesinde olup olmadığını kontrol edebilirsiniz.

İyi forumlar!

 

[Grimner]

Wordpress sitesi bu site.

elimde admin paneline kadar bildiğim bir site var.

kullanıcı adını dahi biliyorum

Öyle bir anlatmışsın ki sanki bulması imkansız bir şeyi bulmuş gibi
Wordpress sitelerinde bunları bulmak zaten 3-4 dakikalık bir iş.

Onun dışında brute force denenebilir ama genelde sağlam siteler de bir işe yaramaz.

 

[bayalpaslan08]

Öyle bir anlatmışsın ki sanki bulması imkansız bir şeyi bulmuş gibi
Wordpress sitelerinde bunları bulmak zaten 3-4 dakikalık bir iş.

Onun dışında brute force denenebilir ama genelde sağlam siteler de bir işe yaramaz.

Sağlam olduğunu düşünmüyorum. Çünkü bu sitenin sahibi daha yeni bu işlerde. Yani site oluşturma vs. işlerinde yeni. Bu sebepten sağlam olduğunu düşünmüyorum. Peki brute force saldırısı nasıl yapabiirim? Konu vs. var mı?

 

[Grimner]

Konu vs. var mı?

"Turkhackteam wordpress brute force" yaz Google içinde. Bir sürü konu seni karşılar.

 

[bayalpaslan08]

"Turkhackteam wordpress brute force" yaz Google içinde. Bir sürü konu seni karşılar.

Teşekkür ederim.

 

[Grimner]

Teşekkür ederim.

Rica ederim.

 

['PoseidonKairos]

Merhaba Hocam,
Yeni başladığını belirtmişsin. Umarım bu hevesin hep devam eder ve kendini geliştirirsin.

Anlayacağın bir dilde açıklama yapayım;
Öncelikle Wordpress'in ham halinde bilinen bir açık yoktur. Hatta çok güvenli bir sistemdir. Açıkların çoğu tema ve eklenti kaynaklıdır. Yani yüklediği temada veya eklentide bir açık varsa ancak buradan girebilirsin.

"WordPress Sitenin Açıklarını Nereden Bulabilirim?" Diyorsan şu şekilde; ilerlemeni tavsiye ederim. Öncelikte sitenin kaynak koduna bakmalısın. Kaynak kodunu görüntülemek için CTRL+U tuş kombinasyonunu kullanabilirsin. Kaynak koduna girdiğinde CTRL+F tuş kombinasyonunu kullanarak "themes" diye arat şöyle bir link yapısıyla karşılaşacaksın. "http://www.siteadi.com/wp-content/themes/temaadi" burada themesin sağında yazan kısım tema adıdır. Artık tema adını biliyorsun. Sırada kullandığı eklentileri bulmak var. Aynı işlemleri uygulayarak bu seferde "plugins" diye arama yap şöyle bir link yapısıyla karşılaşacaksın. "http://www.siteadi.com/wp-content/plugins/eklentiadi" pluginsin sağ tarafındaki eklenti adıdır. Tüm eklenti adlarını bir dosyaya yaz. Daha sonra Google'da şu şekilde bir arama yap.
"Tema veya eklenti adı Exploit" şeklinde arama yaptığında karşına o eklenti ve tema ile alakalı exploitlerin bulunduğu siteler çıkacak burada en işine yarayacak olanı bulup kullanman gerekecek.

Ayrıca WorPress bir sitede kullanıcı adını bulmak istiyorsan kullanacağın yöntem gayet basittir. ?author=1 kodunu kullandığında sana admin kullanıcı adını verecektir. Örneğin; www.siteadi.com/?author=1

Başka kafana takılan bir şey varsa sorman yeterli.

 

[bayalpaslan08]

Merhaba Hocam,
Yeni başladığını belirtmişsin. Umarım bu hevesin hep devam eder ve kendini geliştirirsin.

Anlayacağın bir dilde açıklama yapayım;
Öncelikle Wordpress'in ham halinde bilinen bir açık yoktur. Hatta çok güvenli bir sistemdir. Açıkların çoğu tema ve eklenti kaynaklıdır. Yani yüklediği temada veya eklentide bir açık varsa ancak buradan girebilirsin.

"WordPress Sitenin Açıklarını Nereden Bulabilirim?" Diyorsan şu şekilde; ilerlemeni tavsiye ederim. Öncelikte sitenin kaynak koduna bakmalısın. Kaynak kodunu görüntülemek için CTRL+U tuş kombinasyonunu kullanabilirsin. Kaynak koduna girdiğinde CTRL+F tuş kombinasyonunu kullanarak "themes" diye arat şöyle bir link yapısıyla karşılaşacaksın. "http://www.siteadi.com/wp-content/themes/temaadi" burada themesin sağında yazan kısım tema adıdır. Artık tema adını biliyorsun. Sırada kullandığı eklentileri bulmak var. Aynı işlemleri uygulayarak bu seferde "plugins" diye arama yap şöyle bir link yapısıyla karşılaşacaksın. "http://www.siteadi.com/wp-content/plugins/eklentiadi" pluginsin sağ tarafındaki eklenti adıdır. Tüm eklenti adlarını bir dosyaya yaz. Daha sonra Google'da şu şekilde bir arama yap.
"Tema veya eklenti adı Exploit" şeklinde arama yaptığında karşına o eklenti ve tema ile alakalı exploitlerin bulunduğu siteler çıkacak burada en işine yarayacak olanı bulup kullanman gerekecek.

Ayrıca WorPress bir sitede kullanıcı adını bulmak istiyorsan kullanacağın yöntem gayet basittir. ?author=1 kodunu kullandığında sana admin kullanıcı adını verecektir. Örneğin; www.siteadi.com/?author=1

Başka kafana takılan bir şey varsa sorman yeterli.

Teşekkür ederim. Dediğin şeyi yaptım, ctrl+u yapıp arattım dediklerini themes aratınca birşey bulunmadı fakat plugins yazınca bir tane buldum. " /plugins/limit-login-attempts-reloaded/ " wp-adminden sonra bu isimli plugini buldum. Google da arattım dediğiniz gibi fakat dediğim gibi yeni olduğum için pek birşey anlamadım. Devamında da " assets/css/login-page-styles.css?ver=2.25.13 " diye devam ediyor domain. Bu noktadan sonra ne yapmalıyım? Yardımcı olabilirseniz sevinirim.