WordPress Siteye Shell Atmak ve Manuel Mass Deface

Berke Ünal 27 Nisan 20206 Nisan 2021 0 Comments WordPress Güvenliği, WordPress Hacking, WordPress Hacking Eğitimi, WordPress Manuel Mass Deface, WordPress Siteye İndex Basma, WordPress Siteye Shell Atma

WordPress Dork Nasıl Yazılır | WordPress Dorkları Nelerdir ?
WordPress 1 Saniyede Admin Username Nasıl Bulunur ?
WordPress Brute Force İle Admin Paneline Sızma

WordPress siteye shell atmak için öncelikle admin paneline erişmeniz ya da bir upload açığı bulmanız gerekmektedir. Bu aşamaya kadar nasıl geleceğinizi bilmiyorsanız yukarıdaki yazılara göz atmanızı öneriyorum.

Sizlerin gizliliği ve güvenliği için hazırlamış olduğumuz kategoriye göz atmayı unutmayınız.
VPN nedir ?
MAC adresi nedir ?
Nasıl gizlenebiliriz ?
gibi basit konuları sizler için araştırdık ve detaylı bir şekilde anlattık.İlgili kategoriye gitmek için aşağıdaki bağlantıyı kullanabilirsiniz.

Gizlilik ve Güvenlik – Berke Ünal

1 – Admin Paneline Giriş Yapıyoruz

Brute Force programından aldığımız kullanıcı adı ve şifre ile panele giriş yapıyoruz.

WordPress siteye shell atmak için admin panelini türkçe yaptıysanız “Görünüm” kısmından “Tema Düzenleyici” kısmına giriyoruz.

Soldaki menüden Apperance – Editor kısmına gidiyoruz.

En sağdaki menüden Shell atacağımız yolu seçiyoruz.
Ben 404.php içine Shell dosyamı atıcam.Kodlarımızı yapıştırıp “Update File” butonuna basıyoruz ve Shell dosyamız yükleniyor.

Yüklediğim Shell Nerede ?

“site.com/wp-content/themes/tema-adi/404.php”

Kalın yazılmış yerler sabittir,diğer yerler ise hedefinize göre düzenlemeniz gerekiyor.

Shell dosyamızın kodlarını siteye attığımız kısımda yani Editor (Tema Düzenleyici) ekranında yukarıdan URL’ye bakıyoruz temamızın ismi en sonda mevcut. Örnek verecek olursak;

“site.com/wp-admin/theme-editor.php?file=404.php&theme=twentynineteen“

Benim hedefimdeki sitenin tema adı “twentynineteen“
Tema Adı : twentynineteen
Shell Yolu : 404.php

Sitemizin adresini en başa yazdık sabit dediğim 2 dizinide url’ye ekledik temamızın adını öğrendik ve onuda ekledik ve son olarak shell kodlarını hangi php dosyasının içine attıysak o php dosyasının adını yazdık yani 404.php.

Sonuç : “site.com/wp-content/themes/twentynineteen/404.php”

404.php içerisine WebAdmin shellini başarılı bir şekilde siteye yükledik Shell Dosyamızın ana sayfasında bulunan Dosya Seç butonunu kullanarak istediğiniz dosyayı siteye upload edebilirsiniz admin paneli üzerinden sokamadığınız Shell dosyası vs. var ise upload aracı ile yükleyebilirsiniz. Örneğin k2.php isimli shell dosyasını yükledik yüklediğimiz dosya;

“siteadresi.com/wp-content/themes/twentynineteen/k2.php” adresinde bizi bekliyor olacak.

WebAdmin Shell üzerinden dizinlerde gezebilirsiniz hedef sitenize index atıp geçmek yerine farklı Shell dosyaları yükleyerek (“k2.php“) Mass Deface yaparak aynı server üzerinde bulunan tüm sitelere tek tıklamayla index basabilirsiniz. Mass Deface işlemini manuel olarakta yapabilirsiniz fakat uğraştıracaktır konunun en üzerinde bulunan videolu anlatımda manuel olarak index basmayı gösterdim.