Siber Güvenlik Blogu olarak bugünkü yazımızda Hedef Web Sitesi üzerindeki Admin Panlelinin yani yönetici panelinin nasıl bulunacağını göstereceğiz ve siz değerli okurlarımıza her türlü Admin Panelini bulabileceğiniz bir tool vereceğiz.
Öncelikle söylemek gerekirse Siber Güvenlik Blogu olarak bu yazıyı tamamen eğitim amaçlı yayınlıyoruz. Kötüye kullanım durumlarında Siber Güvenlik Blogu herhangi bir sorumluluk almamakta.
Admin Paneli Nedir? :
Admin Paneli Web Sitenin tamamen yönetildiği yöneticilere özgü bir paneldir yetkisiz erişimi suçtur. Web Sitenin güvenliği için Admin Panelinin gizlenmesi gerekir. Bu yazımızda sızma testlerinde hedef sistemin Admin Panelini nasıl bulacağınızı (dizini) göstereceğiz.
Admin Paneli Nasıl Bulunur? :
Öncelikle hedef sistemin Admin Panelini bulmanın birçok yanı var. Hedef sistemin webmasterleri admin panelini dizinini çözülmeyecek şekilde çok karmaşık yapmış olabilir (Bizce olması gereken budur).
Ya da hedef sistemin Admin dizin yoluyla ulaşılan Admin Paneli Yoktur, örneğin Siber Güvenlik Blogu gibi sitemizde Admin Paneli dizini yoktur Blogger üzerinden düzenlemeler ve paylaşımlar yapılmaktadır.
Eğer bizim Web Sitemizde Admin Panelini Bulmaya çalışacak olursanız şu ironik mesajı görürsünüz:
Şimdi ise gelelim hedef sistemin Admin Panelini bulmaya:
1. Yöntem CTRL+U:
CTRL+U yaparak hedef sitenin kaynak kodlarını görebilirsiniz ve eğer doğrudan Admin paneli dizininden gelen bir dosya vb. varsa CTRL+F yapıp admin, administrator.. gibi olası Admin dizinlerini aratırsanız karşınıza Admin Panelinin dizini gelecektir.
2. Yöntem Admin Panel Finder Toolu:
Adminlerimiz tarafından Türkçeleştirilen ileri düzey Admin Panel Finder toolunu Github üzerinden indirdikten sonra
python3 admin_panel_finder.py --domain hedef_domain
komutuyla Admin Panel Bulucuyu çalıştırıyoruz ve yaklaşık 7000 kelimelik WordListi ile otomatik ve seri bir şekilde hedef site üzerinde Admin Paneli arıyor.