所谓的网站后台管理系统主要是用于对网站前台的信息管理,如文字、图片、影音、和其他日常使用文件的发布、更新、删除等操作,同时也包括会员信息、订单信息、访客信息的统计和管理等相关操作。简单来说就是对网站数据库和文件的快速操作和系统管理,方便前台内容的更新及管理。
渗透测试中得到后台的必要性:
后台能执行更多的敏感操作,如上传webshell。
通过SQL注入等拿到后台账户密码需要后台地址来登陆。
后台验证的相关安全性会更低点。
常见通用后台地址
Admin.php 、login.action 、manage.asp等
添加前缀后缀
initLogin.action
studentLogin.action
解决思路:
可以结合网站情况,结合burpsuite进行不断重放猜解
/DatastatisticsThree/loginAction/goIndex.action
/platform/login!login.action
/system/gotoLogin.action
(PS:大家可以根据自己经验,维护一个常用的后台地址字典,一个强大的字典很重要)
在别的端口后面
xxx.com.cn:9092/admin/login.action
比如原网站是www.xxx.me
http://service.xxx.me/admin/login (当然有可能是其他业务后台)
有的也会以admin.xxx.com manage.xxx.com
8.8.8.8
8.8.8.8:8080
8.8.8.8:9092/admin/login.action
目录扫描工具:御剑后台扫描、Test404后台扫描、PKer多线程后台极速扫描等
具有爬虫功能的目录扫描工具:
Acunetix Web Vulnerability Scanner 、Netsparker 等
对于有些添加前缀后缀的要靠猜了。例如:假设网站是www.lovecat.com 可以猜一下后台catadmin ,catmanage等等,也可以利用社工结合burpsuite。
还有针对于aspx的网站如果存在IIS短文件/文件夹泄露漏洞可以跑一跑。
对于有防护的网站,可以自己写脚本加入随机代理IP、加入随机UA、加入XFF、client-ip等。
Burpsuite 的spider功能,扫描器例如:Acunetix Web Vulnerability Scanner、Netsparker等,还有github上开源的基于爬虫的目录爆破程序。
命令互相结合,多种多样,例如:
site:hack.com intext:管理|后台|登陆|用户名|密码|验证码|系统|帐号|manage|admin|login|system
site:hacks.com inurl:login|admin|manage|manager|admin_login|login_admin|system
site:hack.com intitle:管理|后台|登陆|
site:hack.com intext:验证码
除了传统baidu和google,还可以利用ZoomEye,FoFa,Shodan、Bing、Github、DuckDuckGo等。
1. Robots.txt文件,网站不愿意展示的恰巧是我们最希望访问的。
2. 网站的备份文件,很多站点会有自己整站的文件备份,通常以www、wwwroot、web、webroot等命名。
结合搜索引擎,比如:
site:text.cn inurl:bak | txt | doc | rar | zip | tar | tar.gz | svn | git | config | mdb | db | 7z
3. 查看看下访问的链接,其中图片,编辑器之类的也可能会暴露后台。
4. 如果能知道网站的开发者或者建站公司,可以去看看他们开发的一些其他类似网站,有可能网站大致结构也是差不多的。
5. 当然也有一些简单网站,后台可能直接在页面页脚处。
对网站进行指纹识别,若是通用CMS则可以直接下载源码进行查找。
最经典的像dede,后台就是/dede。除此以外,还有很多开源程序,如Discuz!就是admin.php,Joomla就是/administrator,wordpress就是/wp-admin。而国内的CMS通常就是/admin和/manage,要么就是/login,这样命名后台主要还是管理员登陆起来比较方便。
常见的源码泄露
hg源码泄漏,git源码泄漏,SVN导致文件泄露,DS_Store文件泄漏
可以尝试访问
http://www.example.com/.hg/
http://www.example.com/.git/
http://www.example.com/.svn/entries
http://www.example.com/.DS_Store
参考安全脉搏《常见Web源码泄露总结》
网站备份压缩文件
1、服务器管理员错误地将网站或者网页的备份文件放置到服务器web目录下。
2、编辑器在使用过程中自动保存的备份文件或者临时文件因为各种原因没有被删除而保存在web目录下。
【本文由soft_wind投稿 安全脉搏编辑w2n1ck 编辑并修改,转载请注明“转自安全脉搏”,并附上链接https://www.secpulse.com/archives/59065.html。】
同服务器可能存在多个网站,可以借助工具和端口扫描
利用查询旁站的相关网站,例如:
http://webscan.cc
https://phpinfo.me/bing.php
Nmap 扫描端口,例如前台默认端口是80,那么后台有可能是81,82,88,8080,8000,8001,8888,10080对于https的还有8443之类的。因此建议扫描端口时候 1-65535,有些隐藏到比较大的端口。
二级域名通常不会仅仅以admin,manage这种来命名,叫什么名字的都有。
例如像这样的 tms.xxx.com.cn
查找方法:
可以利用搜索引擎 site
子域名暴力破解,比较好用的是seay的子域名挖掘机还有wydomain。
当然后台也可能是也可能存在于第三级域名
对于大型的企业,一般会有C段,甚至B段。
需要前期进行信息收集,扫一扫C段说不定有惊喜。
利用存储型xss,写入自己构造的代码,需要有一个xss平台来接受,坐等鱼儿上钩。
The Greatest Security Vulnerability: Humans
人才是最大的漏洞,对于黔驴技穷的情况可以尝试从管理员和客服下手。
木桶效应:安全不是取决于最长的那块木板,而是最短的那块。
如果管理员个人安全意识薄弱,那么可以利用社会工程学进行尝试,利用企业邮箱之类的。
弄一个域名,接入到流量统计网站!将统计代码嵌入到自己的网站。
然后去给目标网站管理员留言,把你的域名通过网站留言发给他说要加友情链接,他肯定会在后台看的!
等他看了你的留言,他肯定会打开你的网址,你去自己域名的流量哪里看看 '入口页面' 就能看到他网站的后台地址
【本文由soft_wind投稿 安全脉搏编辑w2n1ck 编辑并修改,转载请注明“转自安全脉搏”,并附上链接https://www.secpulse.com/archives/59065.html。】
本文作者:v清风
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/59065.html
关键是字典呢?
@Curtain 字典靠积累哈哈,思路也很重要
good
@colin 加你好友了 来开搞
真棒,课上讲得也棒
@杨烦 清风老师给你们线下讲课了吗