Наш партнер GENESIS HACKSPACE

Хакспейс: Клуб — физическое место, где собираются увлеченные техникой, IT, электроникой, роботами и физикой люди. Первая сеть бесплатных хакспейсов в г.Тверь и области.

Поиск административной панели довольно важен при проведении аудита сайта. Админку можно:

  • брутфорсить
  • проверять на SQL-инъекции (начинающие программисты часто думают, что в отличии от публичных страниц, страницы административной панели никто не видит)
  • вводить полученные данные для аутентификации (у меня был совершенно реальный случай — я узнал логин и пароль админа через SQL-инъекцию, но так и не сумел найти куда их ввести)

Готовых решений для поиска административных панелей под Linux я не нашёл. В принципе, понятно, что те, кому это нужно, пишут свои простейшие скрипты, либо используют программы вроде DIRB с пользовательскими словарями.

Именно этим путём и пошёл я. Как пользоваться программой DIRB рассказано в статье «DIRB: поиск скрытых каталогов и файлов на веб-сайтах». Использование очень простое — нужно только задать адрес сайта и имя файла словаря:

Но нам нужен этот самый файл словаря. Я составил свой, и пишу эту заметку чтобы поделиться им с вами. Файл составлялся из анализа работы неких программ под Windows с названиями AdminPage и DW Admin and Login Finder v1.1 (просто запустил их в отношении сайта на локалхосте и скопировал из лога те страницы, которые они запрашивали). Получившиеся данные я немного дополнил из нескольких словарей самой DIRB. Из полученных данных были отобраны уникальные строки, и самые популярные (вероятные) адреса админок были вынесены в первую десятку.

Получился файл на 1925 строк. Скачать файл можно на этой странице.

Для использования файл нужно распаковать. Запускать примерно так:

Если кто-то знает другие готовые словари для поиска админок, пишите в комментариях. Если есть дополнения к моему файлу, то также пишите в комментариях — буду рад его расширить.

Похожие темы

Kali Linux 2.0 с ядром 4.0 – Установка проприетарн... Инструкция применима к Kali Linux 2.0 с ядром 4.0 и Kali Linux 1.1.0 с ядром 3.18. Если у вас видеокарта от AMD, то обратитесь к статье "Устано...
Установка Linux Malware Detect (LMD) на Linux... Вся инструкция применима, пожалуй, к любому дистрибутиву Linux, по крайней мере, проверялось и точно работает на RHEL, CentOS, Fedora, Debian, Ubunt...
Как удалить содержимое зашифрованного диска Kali (... Когда для Kali Linux был представлен патч LUKS nuke и добавлен в пакет cryptsetup в Kali Linux, это вызвало большую дискуссию. Следует лучше объясни...
Как использовать сканер безопасности NMAP на Linux... Nmap — это бесплатная, с открытым исходным кодом утилита исследования сети и проведения аудита безопасности. Она широко используется в сообщес...
Web Path сканер — CyberCrowl https://codeby.net/forum/threads/cybercrowl-python-skaner.58869/ Привет, Сodeby.net! В этой статье я хочу показать вам небольшой Web Path сканер. Н...