Как на сайте найти админку


Как найти админку сайта 🚩 Где и кому точить скилы 🚩 Безопасность

Инструкция

Для того чтобы войти на сайт с правами администратора, хакеру может потребоваться соответствующая форма авторизации. Найдя ее, он может попытаться подобрать пароль, используя брутфорсеры – программы, перебирающие пароли по словарю. Возможно, хакер уже выудил интересующие его данные (логин и пароль) из базы данных, используя обнаруженную sql-уязвимость. Чтобы завладеть сайтом, ему достаточно ввести в форму авторизации украденные данные. Соответственно, чем труднее найти админку, тем выше безопасность сайта.

Вы можете проверить безопасность своего ресурса, используя специальные утилиты. Например, воспользуйтесь программой Admin Finder, ее вы легко найдете в сети. Достаточно ввести в нее адрес сайта, и программа выдаст пути всех страниц, связанных с администрированием. Учтите, что некоторые антивирусы могут определять программу как нежелательный софт и блокировать ее работу. Чтобы гарантированно избежать присутствия в утилите троянской программы, ищите Admin Finder именно на хакерских ресурсах. На своих сайтах и форумах хакеры не будут выкладывать зараженные утилиты.

Достаточно часто хакеры проверяют файл robots.txt, в котором администраторы перечисляют запрещенные для индексирования поисковыми роботами файлы. В этом файле вполне могут находиться и необходимые злоумышленнику данные.

Для просмотра структуры сайта можно воспользоваться специальными сканерами. Например, хорошие результаты показывает небольшая консольная утилита SiteScaner. Запустите ее, введите адрес своего сайта. Посмотрите в выведенном списке, указаны ли страницы, которые вы хотели бы скрыть.

Существуют сетевые сервисы, достаточно подробно показывающие структуру сайта. Например, этот: http://defec.ru/scaner/ Введите в поисковое поле адрес своего сайта, вставьте код безопасности и нажмите кнопку SCAN. В открывшемся списке вы увидите структуру вашего интернет-ресурса.

При поиске админки хакер может просто перебрать самые распространенные варианты. Например, такие: /admin, /login, index/admin.php, admin.php, login.php, admin/index.php, admincp/index.php. Настраивая сайт, старайтесь избегать известных названий директорий и файлов. Это касается и баз данных – хакерским утилитам известно больше полутысячи их распространенных названий.

Проверьте свой ресурс на устойчивость к взлому с помощью программы XSpider. Это вполне легальный софт, его демоверсию вы можете скачать с сайта производителя. Программа предназначена для системных администраторов и позволяет получить отчет о возможных путях проникновения на интернет-ресурс.

Достаточно часто администраторы не выставляют права на просмотр директорий, что позволяет хакеру практически свободно путешествовать по каталогам сайта. Защитить папку от просмотра можно очень простым способом: вставьте в нее страничку index.html c текстом, сообщающим о том, что данный каталог закрыт для просмотра. При попытке заглянуть в каталог будет автоматически открываться именно эта страница.

bdblackhat / admin-panel-finder: Скрипт Python для поиска панели администратора сайта

перейти к содержанию Зарегистрироваться
  • Почему именно GitHub? Особенности →
    • Обзор кода
    • Управление проектами
    • Интеграции
    • Действия
    • Пакеты
    • Безопасность
    • Управление командой
    • Хостинг
    • мобильный
    • Истории клиентов →
    • Безопасность →
  • Команда
  • Предприятие
  • Проводить исследования
.

lamanihani / KING-ADMIN-FINDER: Скрипт Python для поиска панели администратора любого сайта

перейти к содержанию Зарегистрироваться
  • Почему именно GitHub? Особенности →
    • Обзор кода
    • Управление проектами
    • Интеграции
    • Действия
    • Пакеты
    • Безопасность
    • Управление командой
    • Хостинг
    • мобильный
    • Истории клиентов →
    • Безопасность →
  • Команда
  • Предприятие
.

Найти скрытую страницу администратора любого веб-сайта

Много раз при сканировании любого URL-адреса, чтобы найти его уязвимости. Пентестеры или исследователи безопасности пытаются найти страницу администратора. Посадка на любую административную страницу любого веб-сайта - критическая уязвимость для любого веб-сайта. Потому что злоумышленники могут запускать атаки с перехватом сеанса или использовать методы грубой силы для кражи учетных данных для входа на страницу администратора. Часто разработчики забывают пропатчить админку. По данным Международного института кибербезопасности, исследователя этического хакерства, в последнее время было обнаружено множество уязвимостей, которые перенаправляют конечных пользователей на административные панели.Мы покажем способ найти админку любого сайта.

 root @ kali: / home / iicybersecurity / Downloads #  git clone https://github.com/mIcHyAmRaNe/okadminfinder3.git  Клонирование в okadminfinder3… удаленный: Перебор объектов: 264, готово. удаленный: всего 264 (дельта 0), повторно используется 0 (дельта 0), повторно используется пакет 264 Прием объектов: 100% (264/264), 231.98 Кбайт | 293.00 КБ / с, готово. Разрешение дельт: 100% (139/139), готово. root @ kali: / home / iicybersecurity / Downloads #  cd okadminfinder3 /  корень @ kali: / home / iicybersecurity / Downloads / okadminfinder3 #  ls  Классы ЛИЦЕНЗИЯ LinkFile okadminfinder.py README.md requirements.txt root @ kali: / home / iicybersecurity / Downloads / okadminfinder3 #  chmod u + x requirements.txt  root @ kali: / home / iicybersecurity / Downloads / okadminfinder3 #  ls -ltr  всего 48  -rwxr - r-- 1 root root 77 2 января 01:54 requirements.txt  -rw-r - r-- 1 root root 3598 2 января 01:54 README.md -rwxr-xr-x 1 корневой корень 18022 2 января 01:54 okadminfinder.py drwxr-xr-x 2 root root 4096 2 января 01:54 LinkFile -rw-r - r-- 1 root root 11347 2 января 01:54 ЛИЦЕНЗИЯ drwxr-xr-x 3 root root 4096 2 января 01:54 Классы 
  • Тип pip3 install -r требования.txt
 root @ kali: / home / iicybersecurity / Downloads / okadminfinder3 #  pip3 install -r requirements.txt  Сбор colorama == 0.4.1 (из -r requirements.txt (строка 1)) Скачивание https://files.pythonhosted.org/packages/4f/a6/728666f39bfff1719fc94c481890b2106837da9318031f71a8424b662e12/colorama-0.4.1-py2.py3-none-any.whl Сбор запросов == 2.21.0 (из -r requirements.txt (строка 2)) Ошибка десериализации записи кэша, запись игнорируется Скачивание https: // файлов.pythonhosted.org/packages/7d/e3/20f3d364d6c8e5d2353c72a67778eb189176f08e873c9900e10c0287b84b/requests-2.21.0-py2.py3-none-any.whl (57 КБ) 100% | ████████████████████████████████ | 61 КБ 81 КБ / с Требование уже выполнено: PySocks == 1.6.8 в / usr / lib / python3 / dist-packages (из -r requirements.txt (строка 3)) (1.6.8) Требование уже выполнено: argparse == 1.4.0 в /usr/local/lib/python3.7/dist-packages (из -r requirements.txt (строка 4)) (1.4.0) Требование уже выполнено: tqdm == 4.31.1 в / usr / local / lib / python3.7 / dist-packages (из -r requirements.txt (строка 5)) (4.31.1) Требование уже выполнено: idna <2.9,> = 2.5 в / usr / lib / python3 / dist-packages (из запросов == 2.21.0 -> - r requirements.txt (строка 2)) (2.6) Требование уже выполнено: certifi> = 2017.4.17 в / usr / lib / python3 / dist-packages (из запросов == 2.21.0 -> - r requirements.txt (строка 2)) (2018.8.24) Требование уже выполнено: chardet <3.1.0,> = 3.0.2 в / usr / lib / python3 / dist-packages (из запросов == 2.21.0 -> - r requirements.txt (строка 2)) (3.0.4) Требование уже выполнено: urllib3 <1.25,> = 1.21.1 в / usr / lib / python3 / dist-packages (из запросов == 2.21.0 -> - r requirements.txt (строка 2)) (1.22) Установка собранных пакетов: colorama, запросы Найдена существующая установка: colorama 0.3.9 Удаление colorama-0.3.9: Colorama-0.3.9 успешно удалена Найдена существующая установка: запросы 2.22.0 Удаление запросов-2.22.0: Успешно удаленные запросы-2.22.0 Успешно установлена ​​colorama-0.4.1 запросов-2.21.0 
  • Введите ./okadminfinder.py –help
 root @ kali: / home / iicybersecurity / Downloads / okadminfinder3 #  ./okadminfinder.py --help  
  ____ __ __ __ _ _______ __ / __ \ / // _ / ___ _____ / / ___ ___ (_) ___ / ____ (_) ___ ____ / / __ _____ / / / /,  
: okadminfinder.py [-h] [-u URL] [-t] [-p ПРОКСИ] [-rp] [-r] [-v] [-U] [-i] необязательные аргументы: -h, --help показать это справочное сообщение и выйти -u URL, --url URL Целевой URL (например, «www.example.com» или «example.com») -t, --tor Использовать анонимную сеть Tor -p ПРОКСИ, --proxy ПРОКСИ Использовать HTTP-прокси (например, '127.0.0.1:8080') -rp, --random-proxy Использовать случайно выбранный прокси-сервер -r, --random-agent Использовать случайно выбранный User-Agent -v, --verbose Показать дополнительную информацию -U, --update Обновить OKadminFinder -i, --interactive Интерактивный интерфейс [другие аргументы не требуются] 
  • Тип ./okadminfinder.py -u testphp.vulnweb.com
  • Testphp.vulnweb.com - распространенный веб-сайт тестирования. Используется для запуска различных сканирований.
  • Вы также можете использовать прокси или службу TOR для сокрытия своей личности.
  • Тип ./okadminfinder.py -u testphp.vulnweb.com ИЛИ введите ./okadminfinder.py -r -u testphp.vulnweb.com
  • -r используется для случайного пользовательского агента.
  • -u используется для целевого URL. Целевой URL - testphp.vulnweb.com
 root @ kali: / home / iicybersecurity / Downloads / okadminfinder3 #  ./okadminfinder.py -u testphp.vulnweb.com  
  ____ __ __ __ _ _______ __ / __ \ / // _ / ___ _____ / / ___ ___ (_) ___ / ____ (_) ___ ____ / / __ _____ / / / /,  
 Сайт testphp.vulnweb.com работает стабильно Обработка…: 0% | | 0/574 [✔] http://testphp.vulnweb.com/admin/ Найдена страница администратора! Обработка…: 1% | ▉ | 7/574 [✔] http://testphp.vulnweb.com/login.php Найдена страница администратора! 
  • Выше показана страница администратора testphp.vulnweb.com
административная страница testphp.vulnweb.com
  • Выше вы можете перейти на страницу администратора сайта.
  • Попробуем на других сайтах.
  • Тип ./okadminfinder.py -u www.arifhabib.com.pk
  • -u используется для целевого URL. Целевой URL - www.arifhabib.com.pk
 root @ kali: / home / iicybersecurity / Downloads / okadminfinder3 #  ./okadminfinder.py -u www.arifhabib.com.pk  
  ____ __ __ __ _ _______ __ / __ \ / // _ / ___ _____ / / ___ ___ (_) ___ / ____ (_) ___ ____ / / __ _____ / / / /,  
 Сайт www.arifhabib.com.pk работает стабильно Обработка…: 2% | █▋ | 13/574 [✔] http://www.arifhabib.com.pk/cpanel/ Найдена страница администратора! Обработка…: 32% | ███████████████████████▎ | 186/574 [✔] http://www.arifhabib.com.pk/controlpanel/ Найдена страница администратора! Обработка…: 100% | ███████████████████████████████████████████ ████████████████████████████ | 574/574 Завершено Найдено 2 страницы администратора 574 страницы отсканированы [/] Сканирование; Нажмите Enter, чтобы выйти из 
  • Открытие веб-страницы в веб-браузере.
административная страница www.arifhabib.com.pk
  • Знание страницы администратора любого веб-сайта создает потенциальный риск для владельца веб-сайта.
  • Теперь попробуем с анонимностью TOR.
  • Введите ./okadminfinder.py –tor -u exide.com.pk/
  • –tor - Он будет использовать службу TOR для поиска страницы администратора целевого веб-сайта.
  • Для запуска типа sudo service tor start
  • Для проверки состояния работы службы TOR. Тип ps -ef | grep tor
  • -u используется для целевого URL.Целевой URL - exide.com.pk/
 root @ kali: / home / iicybersecurity / Downloads / okadminfinder3 #  ./okadminfinder.py --tor -u exide.com.pk/  
  ____ __ __ __ _ _______ __ / __ \ / // _ / ___ _____ / / ___ ___ (_) ___ / ____ (_) ___ ____ / / __ _____ / / / /,  
 Сайт exide.com.pk/ работает стабильно Обработка…: 0% | | 0/574 [✔] http://exide.com.pk//admin/ Найдена страница администратора! Обработка…: 2% | █▋ | 13/574 [✔] http://exide.com.pk//cpanel/ Найдена страница администратора! Обработка…: 3% | █▉ | 15/574 [✔] http: // exide.com.pk//dashboard Найдена страница администратора! Обработка…: 3% | ██▎ | 18/574 [✔] http://exide.com.pk//wp-login.php/ Найдена страница администратора! Обработка…: 5% | ███▎ | 26/574 [✔] http://exide.com.pk//wp-admin/ Найдена страница администратора! Обработка…: 8% | ██████ | 48/574 [✔] http: // exide.com.pk//admin/index.php Найдена страница администратора! 
  • Открытие административной страницы exide.
административная страница exide.com.pk
  • Выше показана страница администратора с использованием прокси TOR. При использовании TOR может потребоваться время. Но он найдет доступную страницу администратора.

Проверьте ссылку на YouTube, чтобы увидеть практические возможности okadminfinder3

  • Okadminfinder3 будет использовать предварительно созданный общий список логинов администратора, которые обычно находятся на любой панели администратора веб-сайта.Ниже вы можете проверить перечисленные ключевые слова.
  • Вы найдете файл с именем adminpanellinks.txt
  • Введите cat adminpanellinks.txt
 root @ kali: / home / iicybersecurity / Downloads / okadminfinder3 / LinkFile #  cat adminpanellinks.txt  % s / admin / % s / admin.asp / % s / admin / admin.asp / % s / admin.aspx / % s / admin / admin.aspx / % s / admin.php / % s / администратор / % s / login.php % s / admin.php % s / пользователь / % s / usuarios / % s / usuario / % s / Admin / % s / cpanel / % s / phpmyadmin / % s / панель управления % s / cms / % s / users / % s / wp-login.php / % s / admin / логин % s / auth / login / % s / модератор / % s / webadmin / % s / webmaster / % s / adminarea / % s / bb-admin / % s / wp-admin / % s / wp-login / % s / wp-admin.php % s / userlogin / % s / логины / % s / login.html % s / adminLogin / % s / admin_area / % s / панель-администратор / % s / instadmin / % s / мемберадмин / % s / administratorlogin / % s / панель / % s / форум / администратор % s / adm / % s / cp / % s / vue-element-admin % s / admin / cp.php % s / cp.php % s / admincontrol / % s / admincp / % s / admin / account.php % s / admin / index.php % s / admin / login.php % s / admin / admin.php % s / admin_area / admin.php % s / admin_area / login.php % s / siteadmin / login.php % s / siteadmin / index.php % s / siteadmin / login.html % s / admin / account.html % s / admin / index.html % s / admin / login.html 

Исследователь кибербезопасности. Специалист по информационной безопасности, в настоящее время работает специалистом по инфраструктуре рисков и исследователем. Он исследователь кибербезопасности с более чем 25-летним опытом. Он служил в разведывательном управлении в качестве старшего офицера разведки.Он также работал с Google и Citrix над разработкой решений для кибербезопасности. Он помог правительству и многим федеральным агентствам в пресечении многих киберпреступлений. В свободное время он пишет для нас последние 5 лет.

.

mIcHyAmRaNe / okadminfinder3: [Поиск панели администратора / Поиск страницы входа администратора] ¢ σ∂є∂ ву 👻 (❤-❤) 👻

перейти к содержанию Зарегистрироваться
  • Почему именно GitHub? Особенности →
    • Обзор кода
    • Управление проектами
    • Интеграции
    • Действия
    • Пакеты
    • Безопасность
    • Управление командой
    • Хостинг
    • мобильный
    • Истории клиентов →
    • Безопасность →
  • Команда
  • Предприятие
  • Проводить исследования
.

Смотрите также

Поделиться в соц. сетях

Опубликовать в Facebook
Опубликовать в Одноклассники
Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий