信息收集丨查找网站后台方法总结

渗透的本质是信息收集，我们不要仅仅局限于后台地址的查找，而是掌握一种信息收集的思路流程。进行信息收集时，我们要从方方面面去寻找信息突破口，一步步地去查找我们想要的信息。

之前看过好多位大佬写的渗透测试过程，总结了一下各位大佬查找后台网站的常见方法，希望能给大家带来帮助。上来就直接送一副干货给大家。

在针对网站后台的查找上，我大致分成了两部分，一个是针对当前站点进行查找，因为这个网站的后台可能存在于本网站的页面内。另一个方向则是对旁站进行查找。对旁站进行查找需要我们另外进行测试寻找。因为思维导图内容较多，我就只挑一部分进行详细讲解，不会一一列举。

一·当前页面信息浏览

1. 查看图片的相关属性

在当前页面上，我们可以随意点击几张图片的属性，看看他们的路径是否可以加以使用，这个相信大家都不陌生，因为有些旧网站会直接把编辑器放在后台目录后面，所以当我们查看图片属性的时候会将网站路径上一些敏感的传点暴露出来。

2. 查看网站管理入口和底部版权信息

然后，我们可以查看网站页面底部和网站版权信息，看看会不会有网站后台入口和版权网站信息。如果有网站后台入口，我们可以直接登录进去。而版权网站信息则可以让我们上网浏览他的建站规则。通常这些底部网站后台入口在学校和政府网站比较多。

3. robots文件

robots.txt是存放于网站根目录下的ASCII编码的文本文件，它通常告诉网络搜索引擎的漫游器（又称网络蜘蛛），此网站中的那些敏感内容是可以被获取的，或者不可被获取的。我们可以在网站根目录下加上**/robots.txt**,在里面可能就可以查找到一些敏感内容地址。

4. 故意请求不存在的页面

在不能直接浏览当前网页获取后台时，我们可以尝试故意请求不存在的页面，让网页故意显示报错信息，查看网站真实路径，说不定可以以此作为突破口，可以得到我们想要的后台地址信息。

二·当前网页后台猜测

当我们在当前页面无法直接找到后台地址的时候，我们应针对它页面后台地址下手，对网站后台地址进行一些猜解和信息收集，进一步去寻找网站后台地址。

1. CMS指纹识别

CMS的全称为“Content management system”（内容管理系统），cms只需要修改几个静态模板，就可以当成一个门户级网站使用。我们通过这一下几个在线网站和小插件来帮助我们进行CMS识别。

在线CMS识别

http://whatweb.bugscaner.com/look/

云溪识别

http://www.yunsee.cn/

Wapplyzer插件使用

Wappalyzer 插件是一个可以用来检测内容管理系统（CMS），电子商务平台、Web服务器、JavaScript框架和已安装的分析工具。下载地址：

https://github.com/AliasIO/Wappalyzer

2. 猜解常见后台路径

接着当我们查询到CMS默认后台地址进不去时，我们可以换着试试一些常见的网站后台路径。比如：admin、admin/login、admin_login、admin/admin_login 、 manage、 manage/admin_login、system等等。不要觉得管理员怎么会那么呆，竟然直接用这些简单的后台路径。但事实还是有相当一部分管理员直接就用常用站点的默认路径。所以我们还可以另外尝试一些常见后台路径来进行测试。

3. 爬行网站目录

我们简单测试了些常见网站后台地址之后，发现还是不行，现在怎么办呢？这时我们可以考虑下爬行网站目录架构，看看管理员会不会将网站后台放置根目录下。至于爬行网站目录原理可以理解为这样：我们在首页A中存在爬取A的所有URL链接，接着这些爬取URL链接我们可以理解分为B，C，D，E，F……接着继续爬取B ，C， D，E，F网页中的URL链接，层层递进，直到将所有URL链接爬行完成。对于爬行网站目录，我们可以通过以下工具来进行爬行获取。

Burpsuite爬行网站

AWvS爬行网站

https://www.freebuf.com/sectool/71091.html

APPScan爬行网站

https://www.cnblogs.com/fnng/archive/2012/05/27/2520594.html

4. 字典爆破后台路径

而当我们进行普通网站爬行成功后，结果点击发现目录中又没有我们想要网站后台地址。也许这后台地址并没有像我们想象中被放置链接中或者爬行深度不够等等原因。这时爬行目录不行的话，我们还可以另行途径，尝试用后台字典来爆破后台地址。这里我推荐几个常用的扫描目录工具。（扫描目录原理：利用字典匹配的网页地址进行目录扫描，根据网页返回的HTTP状态码进行识别确认

比如御剑和dirsearch目录扫描工具等。

5. 备份文件信息泄露

网站备份文件泄露指管理员误将网站备份文件或存放在某个网站目录下(如我们常见的 web.xml 、.bak、.sql、.txt、.swp等 )。我们可以下载这些备份文件，查看网站文件的敏感信息。因为备份文件信息泄露的种类很多，在此我就不在此一一例举出来。

这里就贴个网站链接给大家学习参考：

https://blog.csdn.net/fly_hps/article/details/82821857

6. 利用搜索引擎语法查找

除了针对当前网站后台地址爆破测试，我们还可以通过各大网站搜索引擎语言进行信息后台地址收集，这里重点介绍goolehack。同时goolehack语法“博大精深”，所以在这里我只介绍一些常见帮助我们查找后台的语法啦~~~感兴趣的朋友可以另外查询资料拓展学习。

Goolehack语法

Intext　　　正文中出现关键字的网页

site 网站域名

Intitle　　　标题中出现关键字的网页

Info　　　　 一些基本信息包含关键字的网页

Inurl　　　 url中存在关键字的网页

Filetype　　 指定文件类型

搜索网站后台地址

site:目标网站 intitle:管理/后台/登陆/管理员

site:目标网站 inurl:login/admin/guanlidenglu

site: 目标网站 intext: 管理/后台/登陆/管理员

搜索网站敏感信息

intitle:”Index of” .sh_history

intitle:”index of” etc/shadow

intitle:”index of” spwd

inurl:service.pwd

搜索网站特定文件

site:目标网站 filetype:doc

site:目标网站 filetype:xls

site:目标网站 filetype:pdf

三·后台放置其他站点页面

当我们将上述后台在当前页面查找的方式都是试过一遍时，还是无法找到又该怎么办呢？这是我们就应当换个思路了，也许管理员希望把是将前台和后台地址分开，并没有将后台地址放置到当前页面。所以我们可以通过以下方式尝试去寻找后台地址。

1. 旁站端口查询

一些管理员往往喜欢把服务器划分一个大于1024的端口，然后单独把网站后台地址放置其中。对于这种情况，我们可以通过扫描网站来获取端口信息，然后逐一对其进行访问浏览，看看会不会后台地址被放置在某个端口的呢。对于端口的扫描，我推荐的是nmap神器。快速扫描1-65525端口

同时我们需要注意的是，因为有些网站你扫描发送的请求过多，会把你ip地址进行禁止访问。这时为保险起见，我们可以使用一个叫shodan插件被动进行端口收集，往往这也是一种不错的效果哟。

Shadan插件

后台8080端口登录

2. 查找二级域名

当我扫描他的旁站端口没有发现后台地址，这时我们又可以从子域名下手。一些管理员不放心把后台地址放到当前站点页面，就喜欢把后台地址放置到子域名当中。我们可以通过对其子域名收集，说不定里面就有你想要的后台地址信息哟。这里我推荐大家使用这两个Layer和Sublist3r工具。

Sublist3r工具

Layer子域名挖掘机

3. C段扫描网站

当我们这个网站的后台实在是没有办法找到的话，我们还可以从这个服务器网段的IP地址下手。例如网站地址为：192.168.1.xx,我们则可以从192.168.1.1-192.168.1.254当中查询其他ip地址，从服务器其他ip地址下手看看。虽然很多情况下服务器其他c段中ip地址都是 另外独立不想关的网站，但还是有小部分管理员会把后台网站独立分配一个ip地址给它的。c段扫描网站的工具很多，懒得一一尝试。这里我就贴两个c段在线查询网站给大家。

C段在线查询网站

https://phpinfo.me/bing.php

最后，如果上述方法你还是没有找到后台地址，就考虑还是另寻方向出路，不要死磕一个点，瓜丝在一棵树上=-=

另外附送上一位大佬的文章

https://mp.weixin.qq.com/s/1-rE6aayiDIK0dA0j_EG9w