Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Песочница (https://forum.antichat.xyz/forumdisplay.php?f=189)
-   -   Админка в самописной CMS (https://forum.antichat.xyz/showthread.php?t=451454)

spize0r 12.05.2017 18:08
Уважаемое сообщество, не подскажете способы нахождения админок в самописных CMS:

Суть проблемы в том, что есть CMS, нужно ее протестировать на безопасность. И все бы хорошо, можно было бы забить. Но есть один вопрос: можно ли найти "спрятанную" админ-панель. Под спрятанным подразумевается - имеющая название папки, которое неизвестно. Тоесть, в robots.txt папки нет. Ее вообще нигде нет. Как обычно вскрываются такие пути? Обычный брут или есть интелектуальный - тоесть вставить все возможные данные по админу: логины, emails, даты рождения и тд. Или соц. инженерия? Или есть какие то серверные уловки для просмотра файлов в директории? dirbuster просто проганяет по списку админок, но если название уникально - как поступить?

Спасибо

crlf 12.05.2017 21:28
Админ панель может быть недоступна из вне совсем, висеть на сабдомене/ином порте, доступна только по какому-то условию. Так же, URI админки может и не быть, зависит от архитектуры приложения.

В таких случаях приходится анализировать стек технологий и уже отталкиваясь от него выдумывать различные техники детерминирования. В основном это брут директорий/сабдоменов, скан портов, уязвимости (Directory Traversal, SQLi, File Disclosure).

Каких либо общедоступных и универсальных методик по нахождению @dM1n1337d1Rec70rY нет

spize0r 13.05.2017 00:11
Это как бы мне понятно. Но вот интересут софт в сторону соц. инж. Тоесть, интелл. подбор директории (пароля). Тоесть задаешь в нее несколько слов, и оно начинает перебирать, строить вариации, ограниченное количество - чтобы не было повторов. Возможно добавляет доп. символы - в зависимости от шаблонов, может сделать обучаловку на основе сущ. базы. Есть такой софт? желательно на python. блин. ну как бы это уже +50% к шансу.

censored! 13.05.2017 00:38
Иногда можно найти даже по полуоткрытой статистике счетчика.

Также можно отловить рефферер если есть какие-нить комментарии или пожаловаться и т.п. и все это смотрится в админке.

censored! 13.05.2017 00:39
Цитата:
Сообщение от spize0r
spize0r said:

Тоесть задаешь в нее несколько слов
Практически любой для seo-шника - строит вариации текста по шаблону. Этот сгенерированый список уже использовать в хвост и гриву.

crlf 13.05.2017 00:55
Похоже тебе нужны мутации, это умеет делать, к примеру, John the Ripper:

Код:
Code:
john --wordlist=admin.txt --rules --stdout > mutated.txt
admin.txt

Код:
Code:
admin
1978
alex
haxor
mutated.txt

Код:
Code:
admin
1978
alex
haxor
Admin
Alex
Haxor
admins
alexes
haxors
admin1
alex1
haxor1
Admin1
Alex1
Haxor1
adminadmin
alexalex
haxorhaxor
nimda
xela
roxah
1admin
1alex
1haxor
ADMIN
ALEX
HAXOR
admin2
alex2
haxor2
admin!
alex!
haxor!
admin3
alex3
haxor3
admin7
alex7
haxor7
admin9
alex9
haxor9
admin5
alex5
haxor5
admin4
alex4
haxor4
admin8
alex8
haxor8
admin6
alex6
haxor6
admin0
alex0
haxor0
admin.
alex.
haxor.
admin?
alex?
haxor?
AdminAdmin
AlexAlex
HaxorHaxor
nimdA
xelA
roxaH
Nimda
Xela
Roxah
adminnimda
alexxela
haxorroxah
admiN
aleX
haxoR
2admin
2alex
2haxor
4admin
4alex
4haxor
Admin2
Alex2
Haxor2
Admin!
Alex!
Haxor!
Admin3
Alex3
Haxor3
Admin9
Alex9
Haxor9
Admin5
Alex5
Haxor5
Admin7
Alex7
Haxor7
Admin4
Alex4
Haxor4
Admin6
Alex6
Haxor6
Admin8
Alex8
Haxor8
Admin.
Alex.
Haxor.
Admin?
Alex?
Haxor?
Admin0
Alex0
Haxor0
3admin
3alex
3haxor
7admin
7alex
7haxor
9admin
9alex
9haxor
5admin
5alex
5haxor
6admin
6alex
6haxor
8admin
8alex
8haxor
Admins
Alexes
Haxors
admined
alexed
haxored
admining
alexing
haxoring
Admined
Alexed
Haxored
Admining
Alexing
Haxoring
Правила генерации можешь задавать в конфиге.

t0ma5 13.05.2017 16:20
ещё пример с позавчера, на сервере доступен server-status, делаешь запросы каждую секунду, ждешь урл)

spize0r 16.05.2017 17:42
Цитата:
Сообщение от t0ma5
t0ma5 said:

ещё пример с позавчера, на сервере доступен server-status, делаешь запросы каждую секунду, ждешь урл)
и какой юрл выдаст, админки?

t0ma5 16.05.2017 17:45
Цитата:
Сообщение от spize0r
spize0r said:

и какой юрл выдаст, админки?
ага, если совпадут запросы в одно время к server-status и к админке


Время: 23:38