探索你不知道的秘密花园——网站后台

我们都知道在每个网站平台都有前台页面和后台两部分,对于安全系数比较高的平台,我们普通人无法进入后台,而如果是一个规模比较小的网站,我们或许可以从一些蛛丝马迹中会找到后台的入口。

查找网站后台N种方法总结

1、工具辅助查找

如大家常用的:明小子、啊D注入工具、wwwscan以及一些列目录工具:Acunetix Web Vulnerability Scanner 、JSky、IntelliTamper、Netsparker...等等

现在很多管理员都学着把后台登陆页面放其他位置。清凉网站后台扫描器 V3.0内置的后台数据库也非常的全。

2、网站资源利用

如:网站根目录Robots.txt文本可能会暴露后台地址,右键图片路径、查看网站底部版权信息是否有连接、通过网站里的文件名查询源码下载等等。当然了这些情况仅限于后台程序员很菜的情况下。

3、搜索引擎查询

命令很多种列几种自己常用的吧:

  • site:hackseo.netintext:管理|后台|登陆|用户名|密码|验证码|系统|帐号|manage|admin|login|system
  • site:hackseo.netinurl:login|admin|manage|manager|admin_login|login_admin|system
  • site:hackseo.netintitle:管理|后台|登陆|
  • site:hackseo.netintext:验证码

4、社会工程学

这其实就靠猜了。

比如:xxxadmin xxx_admin xxxmanage adminxxx等等,

或者注入的时候还可以根据数据库里的一些敏感名字猜管理地址,例如说的hackseo_admin。

这个要看运气了,祝大家好运~

5、投机(小聪明做法)

直接问管理员:你们后台地址是多少,我试试能进去不?朋友告诉我你们网站的密码是admin admin。当然这种做法正常人都不会告诉你的。

以上的方法仅限于练习学习使用,严禁对其他网站后台进行攻击。

PS:知道后台入口也无法进入后台,是有权限设定的。

敲黑板!!!划重点!!!

4


登录或注册后发布评论