最近学习着,亚历山大,先来一首抖腿音乐!~~~
今天主题,找后台
1.工具辅助查找
如大家常用的:明小子、啊D、wwwscan
以及一些列目录工具:Acunetix Web Vulnerability Scanner 、JSky、IntelliTamper、Netsparker...等等
2.网站资源利用
如:网站根目录Robots.txt文本、图片路径爆后台、查看网站底部版权信息是否有连接、通过网站里的文件名查询源码下载得知
3.搜索引擎查询
命令很多种列几种自己常用的吧:
site:xxx.com intext:管理|后台|登陆|用户名|密码|验证码|系统|帐号|manage|admin|login|system
site:xxx.com inurl:login|admin|manage|manager|admin_login|login_admin|system
site:xxx.com intitle:管理|后台|登陆|
site:xxx.com intext:验证码
4.社会工程学
猜吧...
如:前段时间的CCTV http://chinvan.cctv.com/ChinvanAdmin/login.aspx 看出什么没有这样的情况经常能碰到就是域名+admin
lxsecadmin lxsec_admin lxsecmanage adminlxsec等等,这个要看运气了,祝大家好运~
个人认为:我觉得工具扫描是很好的,很容易简单上手,不过各有各的爱好,看你的选择了