1.常规网站后台地址的穷举猜解
后台登录地址猜解在这里主要依靠人力和工具结合的方式,人力优先,工具其次。
人力:因为相当比例的网站后台都是像admin,manage,login,,,所以用这一部分先试试看。
工具:这个的话,主要还是看字典,只要字典够强,用什么工具倒也没那么重要。可用的工具有:御剑1.5 御剑珍藏版,御剑2.0,pkav破壳扫描器,safe3
需要注意的是,要看工具猜解路径的运用管理,大部分是根据返回的头部的代码(HTTP响应状态码response status code),如200,404等,还要注意的一点是有一些奇葩设置网站,所有的路径都会200成功状态那种,那这样搞工具就可能判断不准确了。
2.开源类程序的后台登录地址
最经典的就是dede,后台就是/dede。除此之外,还有像Discuz就是admin.php,Joomla就是/administrator,wordpress就是/wp-admin。
国内的CMS通常就是/admin和/manage或者/login,这样主要还是为了让管理员登陆起来比较方便。
如果已知这是个什么CMS,但是却不知道它的后台登陆入口,不妨去它的官网或者一些下载站下载源码,看看都有哪些路径。
ps:
1)CMS,即 Content Management System ,英文缩写是CMS,中文全称是“网站内容管理系统”。网站内容管理系统具有许多基于模板的优秀设计,可以加快网站开发的速度和减少开发的成本。网站内容管理系统的功能并不只限于文本处理,它也可以处理图片、Flash动画、声像流、图像甚至电子邮件档案。网站内容管理系统其实是一个很广泛的称呼,从一般的博客程序,新闻发布程序,到综合性的网站管理程序都可以被称为内容管理系统。常见的cms系统:php类cms系统:dedecms、帝国cms、php168、phpcms、cmstop、discuz、phpwind等asp类cms系统:zblog、KingCMS等.net类cms系统:EoyooCMS等国外的著名cms系统:joomla、WordPress 、magento、drupal 、mambo。
2)dede是织梦内容管理系统dedecms的简称,是一个PHP开源网站管理系统,也是使用用户最多的PHP类CMS系统。
3)判断cms是dede的方法:1是看网站标签页图像 2是看网站url 3是看网站标签页底部有Power by DedeCms字样
4)如何判断那是一个开源类程序:网站爬行-->目录结构 --> 通过经验判断 web指纹识别工具:御剑web指纹识别、椰树1.7 网站版权信息:Power by DedeCms
3.利用搜索引擎查找网站后台地址
我们一般都会将网站放进百度里搜索一下这个站的后台地址。爬虫并不是穷举扫描器,只会爬取前台能抓到的路径,顺着爬下去。
当然,搜索引擎还会收录以前在前台能直接链接进去,现在不能链接进去的后台地址,针对这种站还是很有效果的。
搜索引擎通常都是使用site语法规定搜索指定站,用inurl来搜索指定关键字,或者直接搜一些关键字。这些关键字都不奏效的话,可以尝试搜索upload。upfile等关键字。比如site:cn inurl:/admin , site:hscjy.com inurl:login hscjy.com是去掉3w的网站域名 login是猜测的网站后台目录还可以是admin manage member user manager
我们国内的网站,前台的图片,文件等通常都是后台上传的,然而就是会有些管理员直接将上传目录放在后台目录里面,如/admin/upload等。
除了这个upload,还有一些网站前台组件也会调用后台的东西,例如前台下载文件时可能会访问/admin/download.php这样来设计。比较经典的是织梦dede的前台广告组件会调用后台地址:
最后要说的就是,Google占据了全球3%的服务器,所以谷歌的搜索结果一定是比百度要强的。
4.二级域名与后台地址
有一些网站会把“后台”入口放置于二级域名。通常是一些需要将登录入口单独设置一个登陆地址的站点,如媒体类。媒体类站点前台就是搞媒体,后台地址当然不会轻易让人家放出来。有些媒体兼职编辑很多,但是又不想让闲杂人等来网站闲逛,那么设置二级域名就是最好的方法。像一些视频站,他们的官方资讯也有很多是从二级域名上发布出来的。
要强调的是,猜二级域名和猜二级目录不同,二级域名通常不会以admin,manage这种来命名,叫什么的都有,如x,edit,news等等
要是碰上这种,还是仁者见仁智者见智了。
就比如网站url:http://www.jianke.com 那他的网站后台地址就不是http://www.jianke.com/admin而是http://askadmin.jianke.com
查找这种网站可以用inurl:admin.*.com
ps:
二级域名(Second Level Domain,SLD)在国际顶级域名或国家顶级域名之下的意义不同。
国际顶级域名下二级域名, 二级域名一般是指域名注册人选择使用的网上名称,如“yahoo.com”;上网的商业组织通常使用自己的商标、商号或其他商业标志作为自己的网上名称,如“microsoft.com”。
国家顶级域名下二级域名,在国家顶级域名之下二级域名一般是指类似于国际顶级域名的表示注册人类别和功能的标志。例如,在“.com.cn”域名结构中,“.com”此时是置于国家顶级域名“.cn”下的二级域名,表示商业性组织,以此类推。
谷歌语法Google Hacking 可参考文章:https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=102081
5.其他端口与后台地址
有的管理员可能会把后台放在别的端口,例如前台默认访问80端口,后台就是81,82,88,8080,8000,8001等这样来安排。这种端口分站方式其实最早源于虚拟主机和控制面板的关系,后来被一些程序员管理员给发展为了前台和后台的关系。
通常搞站之前能nmap一下,反正输入命令挂那让它跑就行了。
也有的站80端口和其他端口挂两个不同的站,80下不了手,就去找其他端口的站点的后台好了。
ps:网站搜索语句inurl:admin.*.com:80
6.盲打获取后台地址
就是用Xss攻击获取cookie从而在cookie中获取后台地址,这需要网站存在Xss存储型漏洞,无需注入。
不管什么网站,前台总归是要有交互的地方吧。只要有,哪怕不存在存储型漏洞,也是有希望的。
当然了,最好还是在前台先插一把试试,万一连cookie打到了不是更好。如果打不到,也不要灰心,办法还是有的。在留言板啊,或者一些管理员需要审核、查看的地方,插张远程图片。前提是这张远程图片要在自己控制的服务器或者有高权限的情况下。一旦管理员访问了这张图,你在图片所在服务器上查看日志,看管理员访问图片之前来自哪里,即referer标识。
例如从百度访问了习科,浏览器可能就会自动生成并提交给习科服务器你访问习科之前的baidu的url地址,在习科的服务器日志上,就会在referer这里看到。
7.站点备份文件获取后台地址
很多站点会有自己整站的文件备份,通常以www、wwwroot、web、webroot等命名,rar,zip,gz,tar.gz,7z等结尾。搞整站备份找入手点也是一种思路,同样的从备份文件列举后台路径也是一种思路。举一反三,如果没有备份,我们可以搜搜这个网站的开发者或建站公司,他建过哪些站,一样搞了,相信大致结构是差不多,从类似的站点上面找突破点找后台也是不错的思路。
除此以外,像有些网站有安装包啊或者下载时候都会自带一个很蠢的readme.txt,上面会把后台地址,默认密码、备用密码都写上去。
8.站点其他文件获取后台地址
除了备份文件以外,还有一些非管理员失误责任在编写者身上的文件。举两个典型:
1,有些程序的编写者开源后,会带上一个readme.txt;
2,网站的css或者js文件,网站作者为了方便,可能会将后台的css样式表、js调用函数等与前台放入同一个文件,看似没有任何价值的文件,里面也许隐藏着后台的一些功能,间接就可能让后台地址暴露出来。
还有一些类似的文件,大家自己琢磨。
9.嗅探获取后台地址
在这里并不提倡同子网其他机器的嗅探。其实asp.net的部分版本支持webshell上的嗅探。这种嗅探是一种比较猥琐的方式,但是不得不说对于虚拟主机来说很奏效,容易得到权限,而且权限不需要太高,针对80端口。
10.若是还找不到后台
如果这几种常用方法行不通,建议就不要在后台上面继续下工夫,强烈建议从别的地方下手。
小站可以旁注、同子网嗅探等,或者是FTP,数据库等等,或者干脆搞管理员搞客服,搞控制面板。
有一些独立的大站可能上面的方法不适用,没关系,可以用上面的方法搞分站呀,先从二级域名开始找后台,慢慢再向主站靠拢。实在不行,编辑器、编辑器后台、 phpMyAdmin等等,这些都可以下手,暴力phpMyAdmin通常比暴力后台来的实在,还有一些其他可用的扩展,都有可能比在后台上面吊死强。