Как на любом сайте найти ссылку на админку?
Привет всем) подскажите пожалуйста! Как на любом сайте найти ссылку на админку. Тоесть где нужно вводить данные админа! Может есть какие то программы или подобное…
-
Вопрос заданболее трёх лет назад
-
50950 просмотров
Пригласить эксперта
сайт/robots.txt обычно там прописано для запрета индексации
Для хрома есть расширение, которое определяет cms, угадывает язык программирования и популярные фреймфорки на сайте.
Wappalyzer: https://chrome.google.com/webstore/detail/wappalyz…
Кстати, еще часто тема сайта лежит во внутренних папках цмс, так в bitrix, netcat, wordpress.
Как на любом сайте найти ссылку на админку?
Никак.
Доступ к админке может быть закрыт для посторонних IP.
А в некоторых случаях админки может и не быть. Нельзя найти то, чего нет.
Можно попытаться поискать соответствие популярным CMS, но этот способ, даже в случае известной CMS, не гарантирует нахождения админки.
Если админка не от вашего сайта, то имейте в виду, что сканирование дело не совсем законное — подходящая статья в уголовном кодексе имеется, а веб сервера логи ведут.
Для начала определите CMS сайта. А уже потом, исходя из CMS, найдёте админку. У каждой CMS свой вход в админку.
Хитрые администраторы прячут админку от посторонних глаз
-
Показать ещё
Загружается…
25 мая 2023, в 01:07
5000 руб./за проект
25 мая 2023, в 00:19
1000 руб./за проект
25 мая 2023, в 00:00
2500 руб./за проект
Минуточку внимания
Не существует 100% способа поиска админки сайта, но есть несколько способов которые могут помочь. В этой статье рассмотрим способы поиска админки сайта, с помощью сканеров, Google Dorks, и файла robots.file.
Еще по теме: Лучшие инструменты для поиска уязвимостей сайтов
Как найти админку сайта
Админка сайта (веб-приложения) — система управления, которую используются администраторами и редакторами он-лайн ресурсов, для добавления новых страниц, публикаций, загрузки изображений, изменения темы и т. д.
Для доступа к панели администратора сайта необходима:
- Учетная запись администратора (имя пользователя и пароль).
- Адрес страницы авторизации, например www.xyz.com/admin.php.
В некоторых случаях, в целях безопасности, администраторы скрывают страницу авторизации сайта. Стандартная страница сайта WordPress вместо wp-admin, может называться совсем по другому.
Стандартный адрес админ панели сайта
Самый просто способ — угадывание возможных путей или имен файлов часто используемых движками CMS и самописными сайтами. Разработчики могут использовать стандартный адрес и имя файла админки сайта, такие как admin, admin-panel, Administration, Control-panel, administrator и т. д.
Например, панель администратора для WordPress всегда находится по адресу
wp—admin.
Этот способ не сработает если разработчик или сисадмин изменил стандартный адрес админки, на что-то вроде этого:
Теперь попробуем другой способ.
Поиск админки сайта с помощью фаззинга
Сканирование / фаззинг — это процесс извлечения всех URL-адресов и каталогов сайте. Существует множество инструментов для сканирования сайта. Среди популярных — Dirb, Dirbuster, FFUF.
На скрине ниже видно, как Dirbuster нашел все адреса и каталоги сайта. Более подробно про Dirbuster, в статье «Установка и использование DirBuster»
Почти тоже самое можно сделать с помощью FFUF (аббревиатура от «Fuzz Fast You Fool!»). Более подробно про FFUF, в статье «Примеры использования FFuF». В отличие от первого инструмента, этот работает в терминале Linux и написан на Go.
Как показано выше, FFUF успешно нашел админку сайта.
Поиск админки сайта с Google Dorks
Как мы все знаем, Google регулярно сканирует сайты и сохраняет о них информацию. Используя Google Dorks, мы можем найти админку сайта. На изображении ниже мы использовали Гугл Дорки, такие как site: com, чтобы указать целевой домен, заканчивающийся на .com, и адрес admin, чтобы найти панель администратора всех сайтов в сети.
Или указать определенный сайт.
Ниже перечислены Гугл Дорки для поиска админки сайта:
|
inpage:admin site:example.com intitle:admin site:example.com inpage:login site:example.com intitle:login site:example.com intext:login site:example.com |
Как найти админку сайта с помоью robots.file
На каждом сайте есть файл robots.txt, содержащий URL-адреса, которые Google не должен сканировать или индексировать. Вы можете просмотреть этот файл, перейдя по адресу
Админ может добавить адрес админки в файл robots.txt, чтобы сделать его невидимым для поисковых систем. А любой хакер первым делом изучая файла robots.txt, найдет эту админку.
На этом все. Если вы знаете другие способы поиска панели администратора, буду рад вашему комментарию.
РЕКОМЕНДУЕМ:
- Перебор каталогов сайта на Kali Linux
- Нашел уязвимости на сайте Nokia с помощью Google Dorks
Как найти админку
Для решения некоторых задач иногда возникает необходимость нахождения панели для управления сайтом, или сокращенно админки, через которую команда администраторов выполняет действия по управлению сайтом. Ее внешний вид и структура, а также стандартное местоположение зависят от системы управления содержимым. Данная система играет для сайта очень важную роль.
Вам понадобится
- — компьютер;
- — интернет;
- — программа reiluk.
Инструкция
Чтобы обнаружить администраторскую панель управления сайтом, в первую очередь необходимо узнать тип CMS (системы управления содержимым), если таковая имеется. Для этого существует множество способов. Но лучшим вариантом будет использование специального сервиса, позволяющего определить тип системы управления сайтом через интернет путем ввода в специальную адресную строку домена.
Перейдите по этой ссылке http://2ip.ru/cms/. Далее введите название домена или IP адрес, на котором располагается сайт. Нажмите на клавишу «Найти». Система после проверки выдаст вам данные.
Если сайт был создан с помощью системы управления содержимым, то найти админку можно путем ручного подбора, используя самые всевозможные варианты. Например, вводите /administrator/, /login.php/, /admin/index.php/, /admin/, /login/ и т.д. Вариантов множество.
Если и этот способ не помог обнаружить админку, попробуйте узнать ее с помощью программы reiluk , предварительно скачав ее из интернета по ссылке http://reiluke.i.ph/blogs/reiluke/2008/11/09/web-admin-login-finder/. Далее установите программу на компьютер. Старайтесь устанавливать все в каталог диска «С», так как все логи сохраняются именно в эту категорию.
После установки программы на компьютер откройте загрузившийся архив. Если появится сообщение с просьбой ввести пароль, то в специальном поле напишите www.reiluke.i.ph. Теперь откройте .exe файл, и в открывшемся окне введите ссылку на нужный сайт. Снизу откроется список, где будут указаны все необходимые вам данные. Как видите, найти панель управления сайтом не так сложно. Практически любая проблема в интернете решаема, просто нужно знать определенные методы.
Войти на сайт
или
Забыли пароль?
Еще не зарегистрированы?
This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
На сегодняшний день 57% сайтов используют какую-либо CMS (content management systems – систем управления содержимым). Думаю, число сайтов созданных с помощью CMS будет только расти (хотя бы за счет доли сайтов на WP)
Но эта статья о другой редкой и локальной проблеме: допустим, у вас есть логин и пароль от административной панели сайта, но нет ссылки на страницу входа.
Старый специалист уволился со скандалом, передал все доступы по телефону, секретарь записала на слух в своем розовом блокнотике с единорогом. И директор этой, прости хосподи, «международной корпорации» присылает вам снятый на тапок листок, на котором кое-как можно прочесть логин и пароль «от сайта». Ок, сам сайт находится по названию конторы, а админка где – неясно.
Столкнулись с подобной ситуацией? Тогда вам под кат.
Что за CMS используется на сайте?
Первое, что нам необходимо выяснить. Иногда на сайте это написано открыто, «Сайт работает на WordPress», где-нибудь в подвале. Можно поизучать код страницы, шаблон сайта часто лежит в папке с названием системы, типа /bitrix/templates/ или /wp-content/themes/.
Но проще всего попытаться определить это автоматически с помощью какого-нибудь онлайн-сервиса. Например, определение CMS сайта.
Ищем в списке нужную нам систему управления
Естественно, «site.ru» меняем на название сайта. Смотрим на главной странице сайта какой протокол (http или https), добавляем его к адресу.
- WordPress
Самая распространенная система, 35% доля от всех сайтов вообще, или 62% от сайтов на CMS. У идущей на 2 месте Joomla нет и 5%. Link
Адрес админки:
site.ru/wp-admin/ или сразу страница логина site.ru/wp-login.php
- Joomla
site.ru/administrator/
- Drupal
site.ru/user/register/
- Wix, Tilda, Shopify, Prom.ua и др.
Вход на главной странице сайта, отдельной страницы у вас нет. Фактически всю информацию вы размещаете на чужом сайте-конструкторе, просто подключая часть их страниц с вашими данными к своему домену. Вход в админку, это вход под своим аккаунтом на wix.com, tilda.cc и т.д.
- Bitrix
site.ru/bitrix/admin/#authorize
- Magento
site.ru/admin/
- PrestaShop
site.com/admin***/
Судя по форумным сообщениям, один из самых актуальных вопросов. В инструкции к установке PrestaShop написано: «В целях безопасности у вас нет доступа к административной части, пока не выполните следующие действия: удалите папку /install, переименуйте папку /admin (напр./admin431)». Все переименовывают кто во что горазд, но этой информации вам самостоятельно не узнать, не попав на сервер.
- DataLife Engine (DLE)
site.ru/?do=register/
- NetCat
site.ru/netcat/admin/
- Kooboo
site.ru/koobooCMS/admin/
Худшая CMS из виденных мной, после Кубу ругать другие админки язык не повернется. Если что-то можно сделать не очевидно и не для людей, то там это реализовано, короче говоря, Malbolge в области администрирования сайтов.
- Danneo
site.ru/apanel/
- TYPO3
site.ru/typo3
- UMI
site.ru/admin
- Amiro
site.ru/_ аdmin/indеx.php
- InstantCMS
site.ru/login
- MODx
site.ru/manager
- ImageCMS
site.ru/admin
- Opencart
site.ru/admin
Как показывает практика, адрес /admin, самый распространенный. И можно, пропустив первый пункт «Определение CMS», сразу попробовать два варианта адреса админки: /wp-admin не подходит? Значит /admin!
Найти у нужной CMS адрес по умолчанию не всегда помогает. Может быть предыдущий администратор добавил какие-то настройки в .htaccess (например, разрешил доступ к админке сайта только с определенных ip-адресов) или переименовал адрес админки во что-то произвольное (в случае с PrestaShop – это вообще условие установки данной CMS)
В этом случае без доступа к хостингу, увы, не обойтись. Пинайте клиента, пусть ищет второй листочек.
Большинство сайтов созданы на платформе какой-либо CMS. Системы управления контентом различаются встроенными функциями, возможностями их расширения и способом входа в панель управления, где происходят практически все операции как по публикации страниц веб-ресурса, так и по настройке их отображения.
Если вход осуществляется с компьютера, откуда производилось развертывание CMS, пользователь обычно обращается к ранее сохраненной в избранном ссылке. В большинстве случаев даже логин и пароль подставляются автоматически, и владельцу не приходится задумываться о нюансах открытия панели.
Как войти в админку WordPress
При первом входе понадобится получить прямую ссылку на админку или ввести ее адрес вручную. Понятно, что предварительно стоит определить тип CMS, например, сервисом 2IP или iTrack. При сомнениях (иногда эти ресурсы глючат) лучше уточнить название системы у владельца сайта.
Запуск панели управления WordPress происходит после добавления к имени домена приставки /wp-admin. Если авторизация пользователя происходит в первый раз, система перекидывает на страницу https://название-сайта/wp-login.php. При установке галочки «Запомнить меня» пароль сохраняется в памяти браузера, и при последующем входе будет достаточно лишь подтвердить данные.
Потерянный пароль можно восстановить – ссылка для этого приходит на почту владельца после нажатия на кнопку «Забыли пароль?».
Важно учитывать, что стандартный путь администратор иногда меняет в целях безопасности. Тогда придется запрашивать прямую ссылку у владельца или подбирать вариант самостоятельно. Часто в этом помогает открытие файла robots.txt: служебные каталоги, которые закрываются от индексации, прописаны здесь «прямым текстом».
Комьюнити теперь в Телеграм
Подпишитесь и будьте в курсе последних IT-новостей
Подписаться
Войти в админку MODX
Путь, заданный «по умолчанию» для CMS MODX обоих релизов (Evo и Revo), содержит приставку с названием системного каталога – https://домен/manager/. По желанию администратора он меняется на любой другой, чтобы злоумышленникам было сложнее проникнуть в систему. Если это так, придется обращаться за прямой ссылкой.
Здесь также работают функции сохранения учетных данных в памяти браузера и восстановления забытого пароля. Первая активируется установкой галочки «Запомнить меня», вторая – нажатием на пункт «Забыли свое имя пользователя». После клика открывается дополнительное поле, куда нужно ввести логин или email администратора, указанный при разворачивании CMS.
Выяснить нестандартный путь входа позволит изучение файла /core/config/config.inc.php. В строке $MODX_manager_url= ‘/адрес входа в админку/’; указан каталог, используемый фактически. Чтобы «провернуть» такой фокус с CMS, понадобится доступ к панели управления хостинга или к серверу через протокол FTP.
Как войти в админку Drupal
Система управления контентом Drupal сразу после развертывания также предлагает стандартную ссылку для входа в админку. Но в этой CMS функции регистрации, входа и восстановления пароля разделены (выделены отдельные URL). Их отображение зависит от выбранного раздела.
В Drupal работают пути:
- /user – пользователь ранее авторизовался, логин и пароль сохранены в памяти.
- /user/login – автоматическая авторизация не удалась, нужно ввести данные вручную.
- /user/register – регистрация нового пользователя, если доступ для этого открыт.
- /user/password – восстановление пароля через электронную почту администратора.
После входа в систему иногда возникают трудности с отображением меню. В этом случае поможет прямое указание пути к административному разделу /admin. Важно учитывать, что пользователь, логин которого указывается, должен иметь соответствующие права внутри CMS, иначе придется обращаться к владельцу для настройки доступа.
Войти в админку Joomla
Стандартный вход в админку в Joomla производится по прямой ссылке https://домен/administrator. По умолчанию логин в этой CMS устанавливается как ADMIN, но этот момент лучше уточнить у владельца сайта (возможно, имя пользователя было заменено на другое). В отличие от остальных систем, здесь есть возможность выбрать язык интерфейса.
Забытый пароль восстанавливается традиционно – через электронную почту администратора, куда приходит ссылка для сброса защиты. После нажатия на нее происходит перенаправление на страницу, где предлагается ввести новый пароль (дважды, для подтверждения правильности). После нажатия кнопки «Сохранить» остается заново перейти на ссылку админки и зайти в нее.
Войти в админку 1С-Битрикс
Комбинация символов для входа в панель управления 1С-Битрикс выглядит следующим образом – https://домен/bitrix/admin/. В этой CMS все служебные подкаталоги находятся в BITRIX, поэтому подобрать вариант достаточно легко даже при изменении стандартного пути, например, по тексту файла robots.txt или с помощью авторизации в CRM Битрикс24, если известен пароль от нее.
Если ссылка к админке никак не подбирается, зато есть доступ к хостингу или FTP, можно узнать корректный путь в файлах https://домен/bitrix/php_interface/dbconn.php или https://домен/bitrix/php_interface/settings.php.
Резервные копии сайта хранятся в каталоге https://домен/bitrix/backup/. Сброс пароля работает, как и в предыдущей системе, через запрос ссылки на email администратора, указанный при развертывании CMS. Перед первым входом рекомендуется нажать на пункт «Запомнить меня на этом компьютере», чтобы повторные запуски происходили автоматически.
Войти в админку OpenCart
Панель управления в CMS OpenCart доступна по классическому пути – https://домен/admin/. Вариант одинаков и для поддоменов, если их администрируют вручную, независимо от основного домена. В целях безопасности возможно изменение имени служебного каталога и, соответственно, ссылки на вход в админку. Поэтому при ошибке запуска нужно обратиться к владельцу сайта.
Другой вариант – изучить содержимое файла robots.txt, посмотреть каталоги в файловом менеджере или в панели управления хостингом. Восстановление забытого пароля работает стандартно, путем отправки ссылки сброса данных на электронную почту администратора. Главное, чтобы она была активной и доступной для владельца сайта.