习科小D整理找网站后台办法[科普]

习科科普贴，如何找到网站的后台

作者：小Dの马甲
来自：习科论坛 -
Silic.Org - BlackBap.Org

1, 穷举猜解
   
现如今可以暴力猜解网站后台登陆地址的软件有很多，从最早的啊D注入工具开始，一直到现在很多常用的工具(通常为SQL注入利用工具)都会带有后台登陆地址猜解的功能。
 
 
当然了，这个猜解绝大部分是根据字典来的，只要字典强大，用哪个工具猜倒显得不是那么重要了。
需要注意的是，要看工具猜解路径的运用原理，大部分是根据返回的头部的代码，如200,404等等，这里要特别注意一些奇葩设置网站，所有路径都会200成功状态的那种。
其实我想说，在上工具以前，有相当比例的网站后台根本不用拿工具去猜解，admin,manage,login就完事的。。。所以个人建议，人力优先，工具其次。

2,
开源类程序
   
最经典的像dede，后台就是/dede。除此以外，还有很多开源程序，如Discuz!就是admin.php，Joomla就是/administrator，wordpress就是/wp-admin。
而国内的CMS通常就是/admin和/manage，要么就是/login，这样命名后台主要还是管理员登陆起来比较方便。
 
  如果你知道了这是个什么CMS，但是却不知道他的后台登陆入口，不妨去他官网或者一些下载站下载源码，看看都有哪些路径。

3,
搜索引擎
   
其实很多人都会将网站放进百度里面搜一下这个站的后台地址。爬虫并不是穷举扫描器，只会爬取前台能抓到的路径，顺着爬下去。
当然了，搜索引擎还会收录以前在前台能直接链接进去，现在不能链接进去的后台地址，针对这种站还是很有效果的。
 
 
搜索引擎通常都是使用site语法规定搜索指定站，用inurl来搜索指定关键字，或者直接搜一些关键字。这些关键字都不奏效的话，可以尝试搜索upload，upfile等关键字。
 
  中国人建的网站，前台的图片、文件通常都是后台上传的，然而就是有些管理员直接将上传目录放在了后台目录里面。如/admin/upload等。
   
除了这个upload，还有一些网站前台组件也会调用后台的东西，例如前台现在文件时可能会访问/admin/download.php这样来设计。
比较经典的是织梦dede的前台广告组件会调用后台地址：《奇葩的找dedecms后台思路》

最后要说的就是，Google占据了全世界3%的服务器，谷歌的搜索结果一定比百度强，什么雅虎啊，腾讯搜搜啊，360啊，更是渣渣，硬件实力完胜。

4,
二级域名
   
见过不止一个网站，将“后台”入口放置于二级域名。通常是一些需要将登录入口单独设置一个登陆地址的站点，如媒体类。媒体类站点前台就是搞媒体，后台地址放出来算怎么回事？
 
 
有的媒体兼职编辑很多，但是又不想让闲杂人等没事上来玩，那么设置二级域名就是最好的方法了。像一些视频站，他们的官方咨询也都有很多是从二级域名上面发布出来的。
这里要说一句是，猜二级域名和猜二级目录不同。二级域名通常不会以admin，manage这种来命名，叫什么名字的都有，如x，edit，news等等。。。
 
  遇上这种，就仁者见仁智者见智吧

5, 其他端口
   
有的管理员尤其是喜欢耍小聪明类型的，可能会喜欢把后台放在别的端口，例如前台默认访问80端口，后台就是81,82,88,8080,8000,8001等这样来安排。这种端口分站方式其实最早是源于虚拟主机和控制面板的关系，后来被一些程序猿鹳狸猿就发展为前台和后台的关系了。
 
 
通常搞站之前能nmap一下，反正输入命令挂那自己跑就是。
也有的站80端口和其他端口挂两个不同的站，80下不去手，找其他端口的站点的后台好了。

6,
盲打
    不管什么网站，前台总归是要有交互的地方吧。只要有，哪怕不存在存储型漏洞，也是有希望的。
当然了，最好还是在前台先插一把试试，万一连cookie打到了不是更好。如果打不到，也不要灰心，办法还是有的。
 
  在留言板啊，或者一些管理员需要审核、查看的地方，插张远程图片。
   
前提是这张远程图片要在自己控制的服务器或者有高权限的情况下。一旦管理员访问了这张图，你在图片所在服务器上查看日志，看管理员访问图片之前来自哪里，即referer标识。
例如从百度访问了习科，浏览器可能就会自动生成并提交给习科服务器你访问习科之前的baidu的url地址，在习科的服务器日志上，就会在referer这里看到。
 
 
曾经有一个案例，在一个论坛中我们盲打到了管理员的cookie，但是网站分前台登陆和后台登陆，前台的cookie无法登陆后台，必须重新输入密码，这时候怎么办呢？
首先在前台将管理员的资料改掉，尤其是Email这里。然后，退出登陆后选择找回密码，将管理员密码找回，将管理员密码给改掉，登陆后台。。。虽然可能跟盲打什么的关系不是特别妥当，但是提供一种思路。

7,
站点备份
   
很多站点会有自己整站的文件备份，通常以www、wwwroot、web、webroot等命名，rar,zip,gz,tar.gz,7z等结尾。搞整站备份找入手点也是一种思路，同样的从备份文件列举后台路径也是一种思路。
 
 
举一反三，如果没有备份，我们可以搜搜这个网站的开发者或建站公司，他建过哪些站，一样搞了，相信大致结构是差不多，从类似的站点上面找突破点找后台也是不错的思路。
除此以外，像有些网站有安装包啊或者下载时候都会自带一个比较傻逼的readme.txt，上面会把后台地址，默认密码、备用密码都写上去，还是那句话，举一反三，自由发挥。

8,
站点其他文件
   
除了备份文件以外，还有一些非管理员失误责任在编写者身上的文件。举两个典型：
1，有些程序的编写者开源后，会带上一个readme.txt，至于内容和作用，呵呵，大家都懂得；
2，网站的css或者js文件，网站作者为了方便，可能会将后台的css样式表、js调用函数等与前台放入同一个文件，看似没有任何价值的文件，里面也许隐藏着后台的一些功能，间接就可能让后台地址暴露出来。
还有一些类似的文件，大家自己琢磨。

9,
嗅探
    在这里并不提倡同子网其他机器的嗅探。其实asp.net的部分版本支持webshell上的嗅探：《WinSock嗅探虚拟主机
简单黑吃黑拿下他人webshell》
   
这种嗅探是一种比较猥琐的方式，但是不得不说对于虚拟主机来说很奏效，容易得到权限，而且权限不需要太高，针对80端口。
至于详细嘛，看看上面链接的文章，不需要多说也会明白的。

10,
如果还找不到后台
    一次性不见得能想起很多方法，但是基本上差不多就是这些啦。
   
如果这几种常用方法行不通，我就建议不要在后台上面继续下工夫。实在是不建议你继续受折磨受煎熬，强烈建议从别的地方下手。
小站可以旁注、同子网嗅探等，或者是FTP，数据库等等，或者干脆搞管理员搞客服，搞控制面板。
有一些独立的大站可能上面的方法不适用，没关系，可以用上面的方法搞分站呀，先从二级域名开始找后台，慢慢再向主站靠拢。实在不行，编辑器、编辑器后台、phpMyAdmin等等，这些都可以下手，暴力phpMyAdmin通常比暴力后台来的实在，还有一些其他可用的扩展，都有可能比在后台上面吊死强。
 
  所以嘛，发散思维，别在一棵树上吊死，如果我或者大家还想到其他的，我会在这个帖子中继续补充并标注出更新的地方//Silic.Org

------------------------------ 亮点-----------------------

以上有些东西已经无法实用了。盲打， 站点备份 ，开源程序下下来代码审计效率是挺好的  嗅探我很少用，基本没用到过

 

 最近的经验来讲二级域名的爆破是最容易成功的..  有一份好的二级域名字典很重要·· 收集中·· 

需要加强盲打··  我一般搞站喜欢先扫描，然后收集2级域名，去爆破，识别cms，开各种扫描器开扫 。  不过现在WVS 误报率挺高的 我个人感觉以后社工+XSS 利用的会更加的多.