Форум АНТИЧАТ - Вопрос по обнаружению админок на сайте

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=74)

- - Вопрос по обнаружению админок на сайте (https://forum.antichat.xyz/showthread.php?t=46195)

Termin@L

06.08.2007 21:37

Вопрос по обнаружению админок на сайте

Народ, подскажите какие есть способы найти админку на сайте, очень интересует, много всего перепробовал...
Есть сайт msk-bank.ru, никак не могу найти

Ni0x	06.08.2007 21:43

первым делом проверь на robots.txt, затем поскань структуру сайта сканером, можно пройтись поисковиком, ручной подбор также использовать можно.

_-Ramos-_

06.08.2007 21:47

главный способ по обнаружению админок это inurl:"site" inurl:"admin"
но по ходу на сайте msk-bank.ru нет админки , мож я ошибаюсь

Zitt	07.08.2007 00:26

Цитата:

админок это inurl:"site" inurl:"admin"

тогда уж лучше inurl:"admin" site:'site'

n1†R0x

07.08.2007 00:31

Сканер директорий юзать надо)

Не знаю, что в пабле валяется нормальное, но при наличии хорошей базы-словаря можно найти много чего)

lMCl	07.08.2007 02:19

название сканера можно в студию? :)

Talisman

07.08.2007 02:50

Писал вещичку на питоне.. легкие сайты с широких каналов валит :)

Ps Пробей домены на этом же айпи/хосте, можт у админки адрес другой. врятли бы и другой айпи ей давали :)
хотя я гемороился пару раз :))

blackybr

07.08.2007 09:33

В избранном на античате есть pelmeshka сканер. вообще их ооочень много. выбирай на вкус. я иногда юзаю nikto

•••™NO FEAR™•••

07.08.2007 09:39

http://forum.antichat.ru/thread40031.html

Termin@L

08.08.2007 01:24

rap.ru
На данном сайте существует бага, скуль
http://www.rap.ru/page.php?path=/survey&survey_id=-1+union+select+1,2,concat(Nick,char(58),Passwd),4+ from+Admins/*
а также есть админка
http://www.rap.ru/admin

Однако пароли не подходят, поиск других админок ничего не дал, может кто родскажет, что к чему и почему ничего не получается?

P.S. сканирование Nikto дало помимо всего такой результат -
+ /~root - Enumeration of users is possible by requesting ~username (responds with Forbidden for real users, not found for non-existent users) (GET).
Не совсем понимаю, что это значит.

n0ne	08.08.2007 03:32

Termin@L, бага такая...коннектишься к серверу на 22 порту (кажеца, если не прав - поправьте), и можешь перебирать логины вот так: /~admin /~vasya. Т.е. можно узнать имя юзера.

c411k

08.08.2007 03:35

Цитата:

Сообщение от Termin@L

тебе ответили в этой теме что делать, а ты неудосужился прочитать..

http://www.rap.ru/robots.txt

Код:

     User-agent: *

     Disallow: /_Includes

     Disallow: /_Admin

     Disallow: /_Images

     Disallow: /_Files

     Disallow: /_Templates

     Disallow: /_Style

http://www.rap.ru/_Admin/
Administrator:nfnec

Termin@L

08.08.2007 09:04

Спасибо большое, извиняюсь, забыл

George767

09.08.2007 01:35

Цитата:

Сообщение от Ni0x

А какой дурак будет в robots прописывать закрытые разделы?! Я на своих сайтах подобные разделы закрываю от индексирования поисковиков с помощью мета-тегов. Да и админки у меня вида Mfi8ernj58j, тем более найти парадный вход эт одно, далее взломать его над))

n1†R0x

09.08.2007 07:54

Цитата:

Сообщение от George767

дураки дураками, а тем не менее, адреса админок в robots.txt встречаются очень часто при наличии этого файла.
Тем более, от SQL на сайте никто не застрахован, и твой пароль можно достать при использовании админкой sql-базы.

Scipio

10.08.2007 02:25

Цитата:

Сообщение от n0ne

как это на 22 порт? если ты по SSH приконектился, то в подавляющем большинстве случаев пользователей можно посмотреть в /etc/passwd

Ну тоесть можно подобрать имена пользователей... если ответ сервера 403 (Forbidden) значит пользователь существует, если 404 (not found) значит такого несуществует... например ecли зайти http://www.rap.ru/~vasya и серв ответит 403 (Forbidden) (или зайдет по этому адресу) значит пользователь vasya точно существует, а если 404 (not found) то пользователя vasya может не быть...

Время: 08:18