BGA Bank Yönetim Paneli Dizin İfşası

Tablo 1. Yönetim Paneli URL
URL

Zafiyet her zaman kodlar üzerinde olmayabilir. Bazen basit bir parola veya giriş formunun brute-force’a açık olması hedef sistemde hak yükseltmek için kullanılabilir. Bunun için öncelikle admin giriş sayfasının tespit edilmesi gerekir. Keşif aracı olarak wfuzz kullanılmıştır. Ancak bazı öntanımlı admin panel dizinleri manuel olarak da denenebilir.

Dizin ifşası için Wfuzz aracında aşağıdaki komutlar sırasıyla çalıştırılır.
# cd /usr/share/wfuzz
# ./wfuzz.py -c –hc 404,XXX -z file,wordlist/general/admin-panels.txt
Kelime listeleri wfuzz/wordlist dizini altında bulunabilir. Yukarıdaki URL’de FUZZ yazan yer brute-force’un deneneceği kısımdır.

Şekil 1. Wfuzz Sonuç
Response değerlerine bakıldığında 2 tip cevap döndüğü görülür, 401 ve 200. 401 olanlar elenir. 200 olanlar Lines, Word, Chars değerlerine bakılarak ayırt edilebilir. Şekil 1. de benzer değerleri bulunmayan tek dizin vardır (administrator.aspx).
Yönetici paneli;
Şekil 2. Yönetim Paneli