Как на любом сайте найти ссылку на админку?
Привет всем) подскажите пожалуйста! Как на любом сайте найти ссылку на админку. Тоесть где нужно вводить данные админа! Может есть какие то программы или подобное…
-
Вопрос заданболее трёх лет назад
-
50949 просмотров
Пригласить эксперта
сайт/robots.txt обычно там прописано для запрета индексации
Для хрома есть расширение, которое определяет cms, угадывает язык программирования и популярные фреймфорки на сайте.
Wappalyzer: https://chrome.google.com/webstore/detail/wappalyz…
Кстати, еще часто тема сайта лежит во внутренних папках цмс, так в bitrix, netcat, wordpress.
Как на любом сайте найти ссылку на админку?
Никак.
Доступ к админке может быть закрыт для посторонних IP.
А в некоторых случаях админки может и не быть. Нельзя найти то, чего нет.
Можно попытаться поискать соответствие популярным CMS, но этот способ, даже в случае известной CMS, не гарантирует нахождения админки.
Если админка не от вашего сайта, то имейте в виду, что сканирование дело не совсем законное — подходящая статья в уголовном кодексе имеется, а веб сервера логи ведут.
Для начала определите CMS сайта. А уже потом, исходя из CMS, найдёте админку. У каждой CMS свой вход в админку.
Хитрые администраторы прячут админку от посторонних глаз
-
Показать ещё
Загружается…
24 мая 2023, в 21:54
100 руб./за проект
24 мая 2023, в 21:53
3000 руб./за проект
24 мая 2023, в 21:51
1 руб./за проект
Минуточку внимания
Не существует 100% способа поиска админки сайта, но есть несколько способов которые могут помочь. В этой статье рассмотрим способы поиска админки сайта, с помощью сканеров, Google Dorks, и файла robots.file.
Еще по теме: Лучшие инструменты для поиска уязвимостей сайтов
Как найти админку сайта
Админка сайта (веб-приложения) — система управления, которую используются администраторами и редакторами он-лайн ресурсов, для добавления новых страниц, публикаций, загрузки изображений, изменения темы и т. д.
Для доступа к панели администратора сайта необходима:
- Учетная запись администратора (имя пользователя и пароль).
- Адрес страницы авторизации, например www.xyz.com/admin.php.
В некоторых случаях, в целях безопасности, администраторы скрывают страницу авторизации сайта. Стандартная страница сайта WordPress вместо wp-admin, может называться совсем по другому.
Стандартный адрес админ панели сайта
Самый просто способ — угадывание возможных путей или имен файлов часто используемых движками CMS и самописными сайтами. Разработчики могут использовать стандартный адрес и имя файла админки сайта, такие как admin, admin-panel, Administration, Control-panel, administrator и т. д.
Например, панель администратора для WordPress всегда находится по адресу
wp—admin.
Этот способ не сработает если разработчик или сисадмин изменил стандартный адрес админки, на что-то вроде этого:
Теперь попробуем другой способ.
Поиск админки сайта с помощью фаззинга
Сканирование / фаззинг — это процесс извлечения всех URL-адресов и каталогов сайте. Существует множество инструментов для сканирования сайта. Среди популярных — Dirb, Dirbuster, FFUF.
На скрине ниже видно, как Dirbuster нашел все адреса и каталоги сайта. Более подробно про Dirbuster, в статье «Установка и использование DirBuster»
Почти тоже самое можно сделать с помощью FFUF (аббревиатура от «Fuzz Fast You Fool!»). Более подробно про FFUF, в статье «Примеры использования FFuF». В отличие от первого инструмента, этот работает в терминале Linux и написан на Go.
Как показано выше, FFUF успешно нашел админку сайта.
Поиск админки сайта с Google Dorks
Как мы все знаем, Google регулярно сканирует сайты и сохраняет о них информацию. Используя Google Dorks, мы можем найти админку сайта. На изображении ниже мы использовали Гугл Дорки, такие как site: com, чтобы указать целевой домен, заканчивающийся на .com, и адрес admin, чтобы найти панель администратора всех сайтов в сети.
Или указать определенный сайт.
Ниже перечислены Гугл Дорки для поиска админки сайта:
|
inpage:admin site:example.com intitle:admin site:example.com inpage:login site:example.com intitle:login site:example.com intext:login site:example.com |
Как найти админку сайта с помоью robots.file
На каждом сайте есть файл robots.txt, содержащий URL-адреса, которые Google не должен сканировать или индексировать. Вы можете просмотреть этот файл, перейдя по адресу
Админ может добавить адрес админки в файл robots.txt, чтобы сделать его невидимым для поисковых систем. А любой хакер первым делом изучая файла robots.txt, найдет эту админку.
На этом все. Если вы знаете другие способы поиска панели администратора, буду рад вашему комментарию.
РЕКОМЕНДУЕМ:
- Перебор каталогов сайта на Kali Linux
- Нашел уязвимости на сайте Nokia с помощью Google Dorks
Как узнать, кто является Администратором (владельцем) домена
Если вы задавались вопросом, как определить, кто является администратором другого домена, в этой статье мы расскажем как узнать, кому принадлежит доменное имя, вы можете в сервисе Whois. Эта информация является общедоступной и предоставляется третьим лицам без каких-либо условий. В соответствии с Правилами регистрации доменных имён в доменах .RU и .РФ любая другая информация об Администраторе домена является конфиденциальной и не подлежит разглашению третьим лицам.
Информация об Администраторе домена предоставляется в полном объёме на письменные запросы правоохранительных и судебных органов. Предоставление такой информации возможно исключительно на основании запросов суда и иных органов, которым законодательством РФ предоставлено такое право.
Запросы информации об Администраторе от Адвоката
В соответствии с п. 9.1.5. Правил регистрации Регистратор вправе сообщить информацию о полном наименовании (имени) администратора и его местонахождении (местожительстве) по письменному мотивированному запросу третьих лиц, содержащему обязательство использовать полученную информацию исключительно для целей предъявления судебного иска.
Таким образом, адвокатский запрос должен содержать обязательство использовать полученную информацию исключительно для судебных целей, а также к нему должна быть приложена копия удостоверения адвоката, подписавшего запрос.
Обращаем Ваше внимание на тот факт, что иные данные помимо ФИО/наименования и адреса по запросу адвоката не предоставляются.
Запросы информации об Администраторе от Правообладателя
В соответствии с п. 9.1.5. Правил регистрации Регистратор вправе сообщить информацию о полном наименовании (имени) администратора и его местонахождении (местожительстве) по письменному мотивированному запросу третьих лиц, содержащему обязательство использовать полученную информацию исключительно для целей предъявления судебного иска.
Таким образом, запрос Правообладателя должен содержать обязательство использовать полученную информацию исключительно для судебных целей. Запрос должен быть оформлен на фирменном бланке организации-Правообладателя, иметь печать и подпись уполномоченного лица, к запросу должна быть приложена копия свидетельства на ТЗ/ТМ либо ИНН (в случае, если правообладатель обращается вследствие использования его фирменного наименования).
Данные администратора по запросу Правообладателя предоставляются исключительно в случае, если само доменное имя сходно до степени смешения с ТЗ/ТМ/фирменным наименованием Правообладателя. Во всех иных случаях (в случае использования ТЗ/ТМ/фирменного наименования на контенте сайта и т.п.) данные администратора не могут быть предоставлены на основании такого запроса.
Обращаем Ваше внимание на тот факт, что иные данные помимо ФИО/наименования и адреса по запросу Правообладателя не предоставляются.
В отношении доменных имён .RU и .РФ применяется п. 9.1.5 Правил регистрации доменных имён в доменах .RU и .РФ.
Выдержка из Правил:
Регистратор вправе сообщить информацию о полном наименовании (имени) администратора и его местонахождении (местожительстве) по письменному мотивированному запросу третьих лиц, содержащему обязательство использовать полученную информацию исключительно для целей предъявления судебного иска.
Более подробную информацию о порядке направления запросов от адвокатов и правообладателей вы можете найти в инструкции.
Как узнать данные администратора домена
- Как связаться с администратором домена
- Как связаться с администратором домена, если данные скрыты
В статье мы расскажем, как узнать данные владельца домена с помощью сервиса Whois.
Чтобы узнать данные владельца домена с помощью сервиса Whois:
-
Перейдите на страницу сервиса Whois.
-
Введите имя нужного домена и кликните Проверить:
Готово, на открывшейся странице вы увидите данные администратора домена.
Как связаться с администратором домена
- Перейдите на страницу Связь с администратором домена.
- Введите имя нужного домена и нажмите Проверить.
- Введите вашу электронную почту и текст сообщения в соответствующие графы. Поставьте галочку в пункте “Я не робот” и кликните “Отправить”.
Готово, ваше сообщение будет отправлено администратору домена.
Форма обратной связи защищена от спам-рассылок. Чтобы подтвердить отправку сообщения, пройдите по ссылке, которая придёт на ваш email. Подтверждения срабатывают раз в 15 минут.
Если ваше сообщение не является спамом, но классифицируется системой как спам, обратитесь в клиентскую службу.
Как связаться с администратором домена, если данные скрыты
Если вместо данных домена вы видите статус «Private Person», значит, для домена подключена услуга «Скрытие персональных данных». Для доменов в зонах .RU, .SU, .РФ данные администратора домена скрыты по умолчанию. В этом случае с администратором домена можно связаться только по email, который будет иметь вид: домен_администратора.com@regprivate.ru. Все письма, отправленные на этот адрес, будут перенаправлены реальному администратору домена.
На сегодняшний день 57% сайтов используют какую-либо CMS (content management systems – систем управления содержимым). Думаю, число сайтов созданных с помощью CMS будет только расти (хотя бы за счет доли сайтов на WP)
Но эта статья о другой редкой и локальной проблеме: допустим, у вас есть логин и пароль от административной панели сайта, но нет ссылки на страницу входа.
Старый специалист уволился со скандалом, передал все доступы по телефону, секретарь записала на слух в своем розовом блокнотике с единорогом. И директор этой, прости хосподи, «международной корпорации» присылает вам снятый на тапок листок, на котором кое-как можно прочесть логин и пароль «от сайта». Ок, сам сайт находится по названию конторы, а админка где – неясно.
Столкнулись с подобной ситуацией? Тогда вам под кат.
Что за CMS используется на сайте?
Первое, что нам необходимо выяснить. Иногда на сайте это написано открыто, «Сайт работает на WordPress», где-нибудь в подвале. Можно поизучать код страницы, шаблон сайта часто лежит в папке с названием системы, типа /bitrix/templates/ или /wp-content/themes/.
Но проще всего попытаться определить это автоматически с помощью какого-нибудь онлайн-сервиса. Например, определение CMS сайта.
Ищем в списке нужную нам систему управления
Естественно, «site.ru» меняем на название сайта. Смотрим на главной странице сайта какой протокол (http или https), добавляем его к адресу.
- WordPress
Самая распространенная система, 35% доля от всех сайтов вообще, или 62% от сайтов на CMS. У идущей на 2 месте Joomla нет и 5%. Link
Адрес админки:
site.ru/wp-admin/ или сразу страница логина site.ru/wp-login.php
- Joomla
site.ru/administrator/
- Drupal
site.ru/user/register/
- Wix, Tilda, Shopify, Prom.ua и др.
Вход на главной странице сайта, отдельной страницы у вас нет. Фактически всю информацию вы размещаете на чужом сайте-конструкторе, просто подключая часть их страниц с вашими данными к своему домену. Вход в админку, это вход под своим аккаунтом на wix.com, tilda.cc и т.д.
- Bitrix
site.ru/bitrix/admin/#authorize
- Magento
site.ru/admin/
- PrestaShop
site.com/admin***/
Судя по форумным сообщениям, один из самых актуальных вопросов. В инструкции к установке PrestaShop написано: «В целях безопасности у вас нет доступа к административной части, пока не выполните следующие действия: удалите папку /install, переименуйте папку /admin (напр./admin431)». Все переименовывают кто во что горазд, но этой информации вам самостоятельно не узнать, не попав на сервер.
- DataLife Engine (DLE)
site.ru/?do=register/
- NetCat
site.ru/netcat/admin/
- Kooboo
site.ru/koobooCMS/admin/
Худшая CMS из виденных мной, после Кубу ругать другие админки язык не повернется. Если что-то можно сделать не очевидно и не для людей, то там это реализовано, короче говоря, Malbolge в области администрирования сайтов.
- Danneo
site.ru/apanel/
- TYPO3
site.ru/typo3
- UMI
site.ru/admin
- Amiro
site.ru/_ аdmin/indеx.php
- InstantCMS
site.ru/login
- MODx
site.ru/manager
- ImageCMS
site.ru/admin
- Opencart
site.ru/admin
Как показывает практика, адрес /admin, самый распространенный. И можно, пропустив первый пункт «Определение CMS», сразу попробовать два варианта адреса админки: /wp-admin не подходит? Значит /admin!
Найти у нужной CMS адрес по умолчанию не всегда помогает. Может быть предыдущий администратор добавил какие-то настройки в .htaccess (например, разрешил доступ к админке сайта только с определенных ip-адресов) или переименовал адрес админки во что-то произвольное (в случае с PrestaShop – это вообще условие установки данной CMS)
В этом случае без доступа к хостингу, увы, не обойтись. Пинайте клиента, пусть ищет второй листочек.











