学习笔记三十三：查找网站后台方法汇总

学习笔记三⼗三：查找⽹站后台⽅法汇总
1.常规⽹站后台地址的穷举猜解
后台登录地址猜解在这⾥主要依靠⼈⼒和⼯具结合的⽅式，⼈⼒优先，⼯具其次。

⼈⼒：因为相当⽐例的⽹站后台都是像admin，manage，login，，，所以⽤这⼀部分先试试看。

⼯具：这个的话，主要还是看字典，只要字典够强，⽤什么⼯具倒也没那么重要。

可⽤的⼯具有：御剑1.5 御剑珍藏版，御剑2.0，pkav破壳扫描器，safe3
需要注意的是，要看⼯具猜解路径的运⽤管理，⼤部分是根据返回的头部的代码（HTTP响应状态码response status code），如200，404等，还要注意的⼀点是有⼀些奇葩设置⽹站，所有的路径都会200成功状态那种，那这样搞⼯具就可能判断不准确了。

2.开源类程序的后台登录地址
最经典的就是dede，后台就是/dede。

除此之外，还有像Discuz就是admin.php，Joomla就是/administrator，wordpress就是/wp-admin。

国内的CMS通常就是/admin和/manage或者/login，这样主要还是为了让管理员登陆起来⽐较⽅便。

如果已知这是个什么CMS，但是却不知道它的后台登陆⼊⼝，不妨去它的官⽹或者⼀些下载站下载源码，看看都有哪些路径。

ps：
1）CMS，即 Content Management System ，英⽂缩写是CMS，中⽂全称是“⽹站内容管理系统”。

⽹站内容管理系统具有许多基于模板的优秀设计，可以加快⽹站开发的速度和减少开发的成本。

⽹站内容管理系统的功能并不只限于⽂本处理，它也可以处理图⽚、Flash 动画、声像流、图像甚⾄电⼦邮件档案。

⽹站内容管理系统其实是⼀个很⼴泛的称呼，从⼀般的博客程序，新闻发布程序，到综合性的⽹站管理程序都可以被称为内容管理系统。

常见的cms系统：
php类cms系统：dedecms、帝国cms、php168、phpcms、cmstop、discuz、phpwind等
asp类cms系统：zblog、KingCMS等
.net类cms系统：EoyooCMS等
国外的著名cms系统：joomla、WordPress 、magento、drupal 、mambo。

2）dede是织梦内容管理系统dedecms的简称，是⼀个PHP开源⽹站管理系统，也是使⽤⽤户最多的PHP类CMS系统。

3）判断cms是dede的⽅法：1是看⽹站标签页图像 2是看⽹站url 3是看⽹站标签页底部有Power by DedeCms字样
4）如何判断那是⼀个开源类程序：⽹站爬⾏-->⽬录结构 --> 通过经验判断
web指纹识别⼯具：御剑web指纹识别、椰树1.7
⽹站版权信息：Power by DedeCms
3.利⽤搜索引擎查找⽹站后台地址
我们⼀般都会将⽹站放进百度⾥搜索⼀下这个站的后台地址。

爬⾍并不是穷举扫描器，只会爬取前台能抓到的路径，顺着爬下去。

当然，搜索引擎还会收录以前在前台能直接链接进去，现在不能链接进去的后台地址，针对这种站还是很有效果的。

搜索引擎通常都是使⽤site语法规定搜索指定站，⽤inurl来搜索指定关键字，或者直接搜⼀些关键字。

这些关键字都不奏效的话，可以尝试搜索upload。

upfile等关键字。

⽐如site:cn inurl:/admin , site: inurl:login 是去掉3w的⽹站域名 login是猜测的⽹站后台⽬录还可以是admin manage member user manager
我们国内的⽹站，前台的图⽚，⽂件等通常都是后台上传的，然⽽就是会有些管理员直接将上传⽬录放在后台⽬录⾥⾯，如/admin/upload 等。

除了这个upload，还有⼀些⽹站前台组件也会调⽤后台的东西，例如前台下载⽂件时可能会访问/admin/download.php这样来设计。

⽐较经典的是织梦dede的前台⼴告组件会调⽤后台地址：
最后要说的就是，Google占据了全球3%的服务器，所以⾕歌的搜索结果⼀定是⽐百度要强的。

4.⼆级域名与后台地址
有⼀些⽹站会把“后台”⼊⼝放置于⼆级域名。

通常是⼀些需要将登录⼊⼝单独设置⼀个登陆地址的站点，如媒体类。

媒体类站点前台就是搞媒体，后台地址当然不会轻易让⼈家放出来。

有些媒体兼职编辑很多，但是⼜不想让闲杂⼈等来⽹站闲逛，那么设置⼆级域名就是最好的⽅法。

像⼀些视频站，他们的官⽅资讯也有很多是从⼆级域名上发布出来的。

要强调的是，猜⼆级域名和猜⼆级⽬录不同，⼆级域名通常不会以admin，manage这种来命名，叫什么的都有，如x，edit，news等等
要是碰上这种，还是仁者见仁智者见智了。

查找这种⽹站可以⽤inurl:admin.*.com
ps：
⼆级域名(Second Level Domain,SLD)在国际顶级域名或国家顶级域名之下的意义不同。

国际顶级域名下⼆级域名，⼆级域名⼀般是指域名注册⼈选择使⽤的⽹上名称，如“yahoo．com”；上⽹的商业组织通常使⽤⾃⼰的商标、商号或其他商业标志作为⾃⼰的⽹上名称，如“microsoft．com”。

国家顶级域名下⼆级域名，在国家顶级域名之下⼆级域名⼀般是指类似于国际顶级域名的表⽰注册⼈类别和功能的标志。

例如，在“．com．cn”域名结构中，“.com”此时是置于国家顶级域名“.cn”下的⼆级域名，表⽰商业性组织，以此类推。

⾕歌语法Google Hacking 可参考⽂章：
5.其他端⼝与后台地址
有的管理员可能会把后台放在别的端⼝，例如前台默认访问80端⼝，后台就是81，82，88，8080，8000，8001等这样来安排。

这种端⼝分站⽅式其实最早源于虚拟主机和控制⾯板的关系，后来被⼀些程序员管理员给发展为了前台和后台的关系。

通常搞站之前能nmap⼀下，反正输⼊命令挂那让它跑就⾏了。

也有的站80端⼝和其他端⼝挂两个不同的站，80下不了⼿，就去找其他端⼝的站点的后台好了。

ps:⽹站搜索语句inurl:admin.*.com:80
6.盲打获取后台地址
就是⽤Xss攻击获取cookie从⽽在cookie中获取后台地址，这需要⽹站存在Xss存储型漏洞，⽆需注⼊。

不管什么⽹站，前台总归是要有交互的地⽅吧。

只要有，哪怕不存在存储型漏洞，也是有希望的。

当然了，最好还是在前台先插⼀把试试，万⼀连cookie打到了不是更好。

如果打不到，也不要灰⼼，办法还是有的。

在留⾔板啊，或者⼀些管理员需要审核、查看的地⽅，插张远程图⽚。

前提是这张远程图⽚要在⾃⼰控制的服务器或者有⾼权限的情况下。

⼀旦管理员访问了这张图，你在图⽚所在服务器上查看⽇志，看管理员访问图⽚之前来⾃哪⾥，即referer标识。

例如从百度访问了习科，浏览器可能就会⾃动⽣成并提交给习科服务器你访问习科之前的baidu的url地址，在习科的服务器⽇志上，就会在referer这⾥看到。

7.站点备份⽂件获取后台地址
很多站点会有⾃⼰整站的⽂件备份，通常以www、wwwroot、web、webroot等命名，rar,zip,gz,tar.gz,7z等结尾。

搞整站备份找⼊⼿点也是⼀种思路，同样的从备份⽂件列举后台路径也是⼀种思路。

举⼀反三，如果没有备份，我们可以搜搜这个⽹站的开发者或建站公司，他建过哪些站，⼀样搞了，相信⼤致结构是差不多，从类似的站点上⾯找突破点找后台也是不错的思路。

除此以外，像有些⽹站有安装包啊或者下载时候都会⾃带⼀个很蠢的readme.txt，上⾯会把后台地址，默认密码、备⽤密码都写上去。

8.站点其他⽂件获取后台地址
除了备份⽂件以外，还有⼀些⾮管理员失误责任在编写者⾝上的⽂件。

举两个典型：
1，有些程序的编写者开源后，会带上⼀个readme.txt；
2，⽹站的css或者js⽂件，⽹站作者为了⽅便，可能会将后台的css样式表、js调⽤函数等与前台放⼊同⼀个⽂件，看似没有任何价值的⽂件，⾥⾯也许隐藏着后台的⼀些功能，间接就可能让后台地址暴露出来。

还有⼀些类似的⽂件，⼤家⾃⼰琢磨。

9.嗅探获取后台地址
在这⾥并不提倡同⼦⽹其他机器的嗅探。

其实的部分版本⽀持webshell上的嗅探。

这种嗅探是⼀种⽐较猥琐的⽅式，但是不得不说对于虚拟主机来说很奏效，容易得到权限，⽽且权限不需要太⾼，针对80端⼝。

10.若是还找不到后台
如果这⼏种常⽤⽅法⾏不通，建议就不要在后台上⾯继续下⼯夫，强烈建议从别的地⽅下⼿。

⼩站可以旁注、同⼦⽹嗅探等，或者是FTP，数据库等等，或者⼲脆搞管理员搞客服，搞控制⾯板。

有⼀些独⽴的⼤站可能上⾯的⽅法不适⽤，没关系，可以⽤上⾯的⽅法搞分站呀，先从⼆级域名开始找后台，慢慢再向主站靠拢。

实在不⾏，编辑器、编辑器后台、 phpMyAdmin等等，这些都可以下⼿，暴⼒phpMyAdmin通常⽐暴⼒后台来的实在，还有⼀些其他可⽤的扩展，都有可能⽐在后台上⾯吊死强。