1、工具輔助查找
如大家常用的:明小子、啊D、wwwscan
以及一些列目錄工具:Acunetix Web Vulnerability Scanner 、JSky、IntelliTamper、Netsparker...等等
現在很多管理員都學着把后台登陸頁面放其他位置,二B的很!
清涼網站后台掃描器 V3.0內置的后台數據庫也非常的全。
2、網站資源利用
如:網站根目錄Robots.txt文本、圖片路徑爆后台、查看網站底部版權信息是否有連接、通過網站里的文件名查詢源碼下載得知
3、搜索引擎查詢
命令很多種列幾種自己常用的吧:
site:sfz.1ri.me intext:管理|后台|登陸|用戶名|密碼|驗證碼|系統|帳號|manage|admin|login|system
site:sfz.1ri.me inurl:login|admin|manage|manager|admin_login|login_admin|system
site:sfz.1ri.me intitle:管理|后台|登陸|
site:sfz.1ri.me intext:驗證碼
4、社會工程學
猜吧...
如:前段時間的CCTV http://chinvan.cctv.com/ChinvanAdmin/login.aspx 看出什么沒有這樣的情況經常能碰到就是域名+admin
www.sfz.1ri.me
hackseoadmin hackseo_admin hackseomanage adminhackseo等等
或者注入的時候還可以根據數據庫里的一些敏感名字猜管理地址,例如lz說的hackseo_admin。
這個要看運氣了,祝大家好運~
————————————————————————————————————————————
直接問管理員:你們后台地址是多少,我試試能進去不?朋友告訴我你們網站的密碼是admin admin
猥瑣的:注冊個會員發表個反動文章,然后加管理qq,然后你就說我是網監,把這條新聞刪了。給我加個管理員,方便我以后自己刪……(我以前做站就遇到過),此方法t00ls首發,如有人利用此方法違法,本人不承擔責任。
————————————————————————————————————————————
加管理員QQ,說要買他網站程序的源碼,價錢出高點,讓管理動心,然后讓他給個后台和用戶密碼進后台看功能。。如果他不同意就讓他QQ遠程,這他應該會同意的。。。然后你就得到后台地址了。。。嘻嘻,金錢誘惑。。。