Спонсор публикаций Cyber-512

Готовим специалиста в области ИБ  - Воспитаем специалиста в области ИБ с нуля до начального уровня. После обучения сможете оказывать услуги по проведению тестирования на проникновение ( легальный хакинг )

Поиск административной панели довольно важен при проведении аудита сайта. Админку можно:

  • брутфорсить
  • проверять на SQL-инъекции (начинающие программисты часто думают, что в отличии от публичных страниц, страницы административной панели никто не видит)
  • вводить полученные данные для аутентификации (у меня был совершенно реальный случай — я узнал логин и пароль админа через SQL-инъекцию, но так и не сумел найти куда их ввести)

Готовых решений для поиска административных панелей под Linux я не нашёл. В принципе, понятно, что те, кому это нужно, пишут свои простейшие скрипты, либо используют программы вроде DIRB с пользовательскими словарями.

Именно этим путём и пошёл я. Как пользоваться программой DIRB рассказано в статье «DIRB: поиск скрытых каталогов и файлов на веб-сайтах». Использование очень простое — нужно только задать адрес сайта и имя файла словаря:


Спонсор публикаций HOSTLAND.RU

Hostland.RU уже более 10 лет является профессионалом в сфере предоставления виртуального хостинга и целого ряда сопутствующих услуг. Мы отвечаем за качество нашей работы.

Но нам нужен этот самый файл словаря. Я составил свой, и пишу эту заметку чтобы поделиться им с вами. Файл составлялся из анализа работы неких программ под Windows с названиями AdminPage и DW Admin and Login Finder v1.1 (просто запустил их в отношении сайта на локалхосте и скопировал из лога те страницы, которые они запрашивали). Получившиеся данные я немного дополнил из нескольких словарей самой DIRB. Из полученных данных были отобраны уникальные строки, и самые популярные (вероятные) адреса админок были вынесены в первую десятку.

Получился файл на 1925 строк. Скачать файл можно на этой странице.

Для использования файл нужно распаковать. Запускать примерно так:

Если кто-то знает другие готовые словари для поиска админок, пишите в комментариях. Если есть дополнения к моему файлу, то также пишите в комментариях — буду рад его расширить.


Спонсор публикаций BlackDiver

Обучение тестированию на проникновение  - Обучению тестированию на проникновение от BlackDiver. Базовый курс

Похожие темы

Один день из жизни BlackHat Решил написать про свои будни...а именно про один рандомно выбранный день, из моей жизни! встал рано 11 00 умылся по завтракал, сижу читаю новост...
Почему Kali Linux не видит беспроводное устройство... В виртуальной машине невозможно использовать встроенный Wi-Fi, можно использовать только USB Wi-Fi карты. Поэтому рекомендуется ознакомиться со стат...
Знакомство с протоколом HTTP | Web Application Pen... Как и обещал начинаю цикл статей посвященных пентесту веб приложений по мотивам курса Вивека Рамачандрана Web Application Pentesting от PentesterAca...
С чего начать свой путь. Сила мысли. Часть 9... Всем, кто следил за моими статьями, а так же те, у кого при звуке модема диал ап замирает сердце, а с края глаза начинает сочиться слеза умиления ...
Пентест руками ламера. Часть — 1... О чем эта заметка: в последнее время на ресурсе стали все чаще и чаще появляться вопросы о реализации навыков в жизни с возможностью получения опл...