Наш канал в telegram канал codeby

Пишем об информационной безопасности, методах защиты информации, о программировании. Не пропускай новости с кодебай, будь в тренде !  Подробнее ...

Поиск административной панели довольно важен при проведении аудита сайта. Админку можно:

  • брутфорсить
  • проверять на SQL-инъекции (начинающие программисты часто думают, что в отличии от публичных страниц, страницы административной панели никто не видит)
  • вводить полученные данные для аутентификации (у меня был совершенно реальный случай — я узнал логин и пароль админа через SQL-инъекцию, но так и не сумел найти куда их ввести)

Готовых решений для поиска административных панелей под Linux я не нашёл. В принципе, понятно, что те, кому это нужно, пишут свои простейшие скрипты, либо используют программы вроде DIRB с пользовательскими словарями.

Именно этим путём и пошёл я. Как пользоваться программой DIRB рассказано в статье «DIRB: поиск скрытых каталогов и файлов на веб-сайтах». Использование очень простое — нужно только задать адрес сайта и имя файла словаря:


Наш канал в telegram канал codeby

Пишем об информационной безопасности, методах защиты информации, о программировании. Не пропускай новости с кодебай, будь в тренде !  Подробнее ...

Но нам нужен этот самый файл словаря. Я составил свой, и пишу эту заметку чтобы поделиться им с вами. Файл составлялся из анализа работы неких программ под Windows с названиями AdminPage и DW Admin and Login Finder v1.1 (просто запустил их в отношении сайта на локалхосте и скопировал из лога те страницы, которые они запрашивали). Получившиеся данные я немного дополнил из нескольких словарей самой DIRB. Из полученных данных были отобраны уникальные строки, и самые популярные (вероятные) адреса админок были вынесены в первую десятку.

Получился файл на 1925 строк. Скачать файл можно на этой странице.

Для использования файл нужно распаковать. Запускать примерно так:

Если кто-то знает другие готовые словари для поиска админок, пишите в комментариях. Если есть дополнения к моему файлу, то также пишите в комментариях — буду рад его расширить.


Чат codeby в telegram перезагрузка

Обсуждаем вопросы информационной безопасности, методы защиты информации, программирование. Задавайте свои вопросы и комментируйте чужие.  Подробнее ...

Похожие темы

MobSF — фреймворк мобильной безопасности... Перевод: Анна Давыдова Источник: n0where.net Фреймворк мобильной безопасности: MobSF Фреймворк мобильной безопасности Фреймворк мобильной без...
Pentest Windows Server 2008 Итак, для начала немного информации, атака будет производиться используя уязвимости версии протокола SMB 2.2 SMB (Server Message Block) — сетевой...
Методы атак с использованием социальной инженерии... Разговор о соц. инженерии можно продолжать бесконечно, но это не защитит от злоумышленников всех мастей. Среди них попадаются настолько талантливые ...
SMB протокол — Meterpreter сессия... В этой статье я покажу способы получения активной сессии meterpreter, используя SMB протокол.В качестве уязвимой машины мною был выбран Windows Se...
Уязвимости в индустриальной инфраструктуре. ICSSpl... ICS - Internet Connection Sharing — возможность, появившаяся в ОС Windows, начиная с версии Windows 98 Second Edition, заключающаяся в совместном ис...