Merhaba arkadaşlar sizlere hedef sitenin admin panelini bulmak için kullanabileceğiniz “TurkSec Panel Bulucu” programını tanıtıcağım. Program java ile kodlandı ve JRE 8 ile derlendi o yüzden programı çalıştırabilmek için java.com dan javanın son sürümünü indirip kurmanız lazım.
Javayı yükledikten sonra TurkSec Panel Bulucu uygulamasına girin. “Dizin dosyası seç” butonuna tıklayarak ekte vermiş olduğum admins.txt dosyasını seçin. Ben elimdeki panel uzantılarını ekledim ama siz yinede geliştirebilirsiniz. Ardından hedef sitenizin URL adresini girin ve “Adresi sabitle” butonuna basıp Taramaya başlayın.
Soru: Çalışma mantığı nedir?
Cevap: Dosyadaki dizin ve dosya listesini çeker. Site üzerinde bunları dener. Bulduğunu düşündüklerini ekrana verir. Piyasadakilerden farklı algoritması vardır. Netlik değeri yüksektir. False positive değeri düşüktür. Özellikle havijde rastladığımız bugların hiçbirini barındırmaz. MultiThread çalışır. Sayfaları 5’er 5’er dener.
Soru: Https destekler mi?
Cevap: Evet.
Soru: Alt klasörleri dener mi?
Cevap: Recursive mantıkla çalışmaz. Url için yazdığın dizinin altında deneme yapar. Her dizin için ayrı tarama yapman gerekir.
Soru: Yanılma payı var mıdır?
Cevap: Her zaman her programda vardır. Ama piyasadakilerden artısı çoktur.
Soru: Peki programı özel yapan nedir?
Cevap: Status code bazlı çalışmaz, 200 döndüren 404 sayfalarını da tespit eder. Uzantı bazlı çalışır, yani diğer bi deyişle, php nin 404 ü ile php yi kıyaslar, jsp nin 404 ü ile jsp’yi kıyaslar.
Soru: Hangi durumlarda yanılabilir?
Cevap: Birden fazla “custom” error sayfası olan ve bunları rastgele döndüren sunucularda. Bağlantı gidip gelme veya firewall tarafından bloklanma durumlarında.
TurkSec 