知己知彼,百战不殆。意为如果对敌我双方的情况都能了解透彻,打起仗来百战都不会有危险。语出《孙子·谋攻篇》:“知己知彼,百战不殆;不知彼而知己,一胜一...
http://www.atcpu.com/提示:此方法也可以用做在网站管理员加强网站后台安全防护所用。。
1、工具辅助查找
如
大家常用的:明小子、啊D、wwwscan
以及一些列目录工具:Acunetix
web Vulnerability Scanner 、JSky、
intell T a mper、Net
sparker...等等
现在很多管理员都学着把后台登陆页面放其他位置,二B的很!
清凉网站后台扫描器V3.0内置的后台数据库也非常的全。
2、网站资源利用
如:网站根目录Robots.txt文本、图片路径爆后台、查看网站底部版权信息是否有连接、通过网站里的文件名查询源码下载得知
3、搜索引擎查询
命令很多种列几种自己常用的吧:
site:at
cpu.netintext:管理|后台|登陆|用户名|密码|验证码|系统|帐号|manage|admin|login|system
site:atcpu.netinurl:login|admin|manage|manager|admin_login|login_admin|system
site:atcpu.netintitle:管理|后台|登陆|
site:atcpu.netintext:验证码
4、社会工程学
猜吧...
如:前段时间的CCTV
http://chinvan.cctv.com/ChinvanAdmin/login.aspx看出什么没有这样的情况经常能碰到就是域名+admin
www.atcpu.net
atcpuadminatcpu_admin atcpumanage adminatcpu等等
或者注入的时候还可以根据数据库里的一些敏感名字猜管理地址,例如lz说的atcpu_admin。
这个要看运气了,祝大家好运~
————————————————————————————————————————————
直接问管理员:你们后台地址是多少,我试试能进去不?朋友告诉我你们网站的密码是adminadmin
猥琐的:
注册个会员发表个反动文章,然后加管理
qq,然后你就说我是网监,把这条新闻删了。给我加个管理员,方便我以后自己删……(我以前做站就遇到过),注意:如有人利用此方法违法,本人不承担责任。
————————————————————————————————————————————
加管理员QQ,说要买他网站程序的源码,价钱出高点,让管理动心,然后让他给个后台和用户密码进后台看功能。。如果他不同意就让他QQ远程,这他应该会同意的。。。然后你就得到后台地址了。。。嘻嘻,金钱诱惑。。。
这个帖子比较好,我通过它找到了我想要的东西,希望能帮助到大家
