Не существует 100% способа поиска админки сайта, но есть несколько способов которые могут помочь. В этой статье рассмотрим способы поиска админки сайта, с помощью сканеров, Google Dorks, и файла robots.file.
Еще по теме: Лучшие инструменты для поиска уязвимостей сайтов
Как найти админку сайта
Админка сайта (веб-приложения) — система управления, которую используются администраторами и редакторами он-лайн ресурсов, для добавления новых страниц, публикаций, загрузки изображений, изменения темы и т. д.
Для доступа к панели администратора сайта необходима:
- Учетная запись администратора (имя пользователя и пароль).
- Адрес страницы авторизации, например www.xyz.com/admin.php.
В некоторых случаях, в целях безопасности, администраторы скрывают страницу авторизации сайта. Стандартная страница сайта WordPress вместо wp-admin, может называться совсем по другому.
Стандартный адрес админ панели сайта
Самый просто способ — угадывание возможных путей или имен файлов часто используемых движками CMS и самописными сайтами. Разработчики могут использовать стандартный адрес и имя файла админки сайта, такие как admin, admin-panel, Administration, Control-panel, administrator и т. д.
Например, панель администратора для WordPress всегда находится по адресу wp-admin.
Этот способ не сработает если разработчик или сисадмин изменил стандартный адрес админки, на что-то вроде этого:
1 |
www.site.com/mac_124 |
Теперь попробуем другой способ.
Поиск админки сайта с помощью фаззинга
Сканирование / фаззинг — это процесс извлечения всех URL-адресов и каталогов сайте. Существует множество инструментов для сканирования сайта. Среди популярных — Dirb, Dirbuster, FFUF.
На скрине ниже видно, как Dirbuster нашел все адреса и каталоги сайта. Более подробно про Dirbuster, в статье «Установка и использование DirBuster»
Почти тоже самое можно сделать с помощью FFUF (аббревиатура от «Fuzz Fast You Fool!»). Более подробно про FFUF, в статье «Примеры использования FFuF». В отличие от первого инструмента, этот работает в терминале Linux и написан на Go.
Как показано выше, FFUF успешно нашел админку сайта.
Поиск админки сайта с Google Dorks
Как мы все знаем, Google регулярно сканирует сайты и сохраняет о них информацию. Используя Google Dorks, мы можем найти админку сайта. На изображении ниже мы использовали Гугл Дорки, такие как site: com, чтобы указать целевой домен, заканчивающийся на .com, и адрес admin, чтобы найти панель администратора всех сайтов в сети.
Или указать определенный сайт.
Ниже перечислены Гугл Дорки для поиска админки сайта:
1 2 3 4 5 |
inpage:admin site:example.com intitle:admin site:example.com inpage:login site:example.com intitle:login site:example.com intext:login site:example.com |
Как найти админку сайта с помоью robots.file
На каждом сайте есть файл robots.txt, содержащий URL-адреса, которые Google не должен сканировать или индексировать. Вы можете просмотреть этот файл, перейдя по адресу
1 |
site.com/robots.txt |
Админ может добавить адрес админки в файл robots.txt, чтобы сделать его невидимым для поисковых систем. А любой хакер первым делом изучая файла robots.txt, найдет эту админку.
На этом все. Если вы знаете другие способы поиска панели администратора, буду рад вашему комментарию.
РЕКОМЕНДУЕМ: