BGA Bank Yönetim Paneli Dizin İfşası

Tablo 1. Yönetim Paneli URL
URL
http://isube.bgabank.com/administrator.aspx

Zafiyet her zaman kodlar üzerinde olmayabilir. Bazen basit bir parola veya giriş formunun brute-force’a açık olması hedef sistemde hak yükseltmek için kullanılabilir. Bunun için öncelikle admin giriş sayfasının tespit edilmesi gerekir. Keşif aracı olarak wfuzz kullanılmıştır. Ancak bazı öntanımlı admin panel dizinleri manuel olarak da denenebilir.

Dizin ifşası için Wfuzz aracında aşağıdaki komutlar sırasıyla çalıştırılır.
# cd /usr/share/wfuzz
# ./wfuzz.py -c –hc 404,XXX -z file,wordlist/general/admin-panels.txt http://isube.bgabank.com/?sayfa=FUZZ
Kelime listeleri wfuzz/wordlist dizini altında bulunabilir. Yukarıdaki URL’de FUZZ yazan yer brute-force’un deneneceği kısımdır.

yonetim-paneli-ifsasi.png
Şekil 1. Wfuzz Sonuç
Response değerlerine bakıldığında 2 tip cevap döndüğü görülür, 401 ve 200. 401 olanlar elenir. 200 olanlar Lines, Word, Chars değerlerine bakılarak ayırt edilebilir. Şekil 1. de benzer değerleri bulunmayan tek dizin vardır (administrator.aspx).
Yönetici paneli;
yonetim-paneli-ifsasi-2.png
Şekil 2. Yönetim Paneli