Поиск административной панели довольно важен при проведении аудита сайта. Админку можно:

  • брутфорсить
  • проверять на SQL-инъекции (начинающие программисты часто думают, что в отличии от публичных страниц, страницы административной панели никто не видит)
  • вводить полученные данные для аутентификации (у меня был совершенно реальный случай — я узнал логин и пароль админа через SQL-инъекцию, но так и не сумел найти куда их ввести)

Готовых решений для поиска административных панелей под Linux я не нашёл. В принципе, понятно, что те, кому это нужно, пишут свои простейшие скрипты, либо используют программы вроде DIRB с пользовательскими словарями.

Именно этим путём и пошёл я. Как пользоваться программой DIRB рассказано в статье «DIRB: поиск скрытых каталогов и файлов на веб-сайтах». Использование очень простое — нужно только задать адрес сайта и имя файла словаря:

Но нам нужен этот самый файл словаря. Я составил свой, и пишу эту заметку чтобы поделиться им с вами. Файл составлялся из анализа работы неких программ под Windows с названиями AdminPage и DW Admin and Login Finder v1.1 (просто запустил их в отношении сайта на локалхосте и скопировал из лога те страницы, которые они запрашивали). Получившиеся данные я немного дополнил из нескольких словарей самой DIRB. Из полученных данных были отобраны уникальные строки, и самые популярные (вероятные) адреса админок были вынесены в первую десятку.

Получился файл на 1925 строк. Скачать файл можно на этой странице.

Для использования файл нужно распаковать. Запускать примерно так:

Если кто-то знает другие готовые словари для поиска админок, пишите в комментариях. Если есть дополнения к моему файлу, то также пишите в комментариях — буду рад его расширить.

Похожие темы

Как заменить OSX на Kali Linux Требования для установки Kali Linux Начиная с Kali Linux 1.0.8, Kali Linux поддерживает EFI из коробки. Эта добавленная функция упрощает получен...
Metasploit — Совместная работа команды... Перейти к содержанию полного руководства пользователя Metasploit на русском языке. Совместная работа команды ...
Инструменты VMware в гостевой системе Kali... Внимание, эта инструкция устарела. Пожалуйста, обратитесь к обновлённому мануалу.   Если вы не захотите использовать наши предварительн...
Анонимный пентест с Kali linux через Whonix Gatewa... https://codeby.net/forum/threads/anonimnyj-pentesting-kali-linux-posredstvom-whonix-gateway.58152/ Kali linux через шлюз Whonix Gateway и все это...
Как получить логи скайпа и историю браузера на уда... https://codeby.net/forum/threads/krazha-logov-skype-i-istorii-poseschenij-brauzerov.57913/ Как получить логи skype и историю посещений браузеров на...