本篇文章为大家展示了网站后台的破解原理是什么,内容简明扼要并且容易理解,绝对能使你眼前一亮,通过这篇文章的详细介绍希望你能有所收获。1)查找网站管理入口一、猜测常见的网站后台1、http://你的网址/login.asp2、http://你的网址/admin/login.asp3、http://你的网址/admin/ /admini/
二、查看该网站的robots.txt
如:网站为:http://www.mmfi.net/在后面添加:robots.txt得到:
User-agent: *Disallow: /wp-Disallow: /feed/Disallow: /comments/feedDisallow: /trackback/Disallow: /page/Disallow: /category/*/page/sitemap:http://www.mmfi.net/sitemap_baidu.xmlDisallow后面为不想被搜索的,可能就是后台页
这里可以使用 “御剑后台扫描工具” 或其它的一些后台目录扫描工具来扫描网站后台的目录 / 文件信息。
“御剑后台扫描” 工具将以列表的形式返回匹配到的目录 / 文件供我们参考,我们需要通过分析工具返回的信息从中找到网站的后台登录入口。
我们对 192.168.1.171 这个网站进行目录扫描并且已经扫描到了相关的文件信息,其中就有一个名为 login.html 的文件,该文件一般就为后台的登录界面入口。在上面的讲解中,我们已经学会了如何去获得后台的相关登录界面信息,接下来我们开始对获得的登录界面进行攻击操作。为了方便 香港云主机演示,我们以爆破路由器的后台管理界面为例。在执行下面的操作时,因为要使用 burpsuite 工具,所以我们需要安装一个 Kali 系统(可以使用虚拟机安装),具体安装过程这里不论述,请读者自行下载安装。2)爆破前准备首先打开 Kali 系统桌面的 burpsuite 工具 ,先对其工具进行以下配置:
其中图 3 中新添加的监听地址,写入默认 IP 地址设为 127.0.0.1,监听端口设为 9999,这里的 9999 是随意的(建议设置值在 1024 之后)。本条配置的作用是让 burpsuite 工具监听流经网卡 9999 这个端口的所有数据包,说白了就是窃听管理员与服务器交互的所有内容,将其保存下来。接下来我们使用 Kali 系统的浏览器来模仿管理员登录网站后台的操作,并实施数据窃听。首先,我们先配置一下浏览器的代理设置,如下:这里设置的代理 IP 地址和端口,必须和上面设置 burpsuite 工具时使用的地址一致!3)正式开始攻击终于到了攻击的时刻了,接下来我们以获取路由器的管理后台为例,实现攻击:假设管理员打开了路由器管理后台界面,并执行了登录操作:当用户执行了登录操作后(假设账户和密码都是正确的),这时我们回到 burpsuite 工具,并切换到 HTTP history 选项中查看抓包信息。在抓包列表中我们可以看到 burpsuite 工具抓到所有流经 9999 端口的所有数据包信息,在此我们只需要在 URL 列中找到与管理员登录管理后台时使用一致的 URL ,点击查看,即可查看到该数据包的所有内容。我们很轻松地,就找到正确的账户和密码了。上述内容就是网站后台的破解原理是什么,你们学到知识或技能了吗?如果还想学到更多技能或者丰富自己的知识储备,欢迎关注开发云行业资讯频道。
相关推荐: Microsoft Windows 编解码器库远程执行CVE-2020-1457/1425漏洞是怎么样的
本篇文章给大家分享的是有关Microsoft Windows 编解码器库远程执行CVE-2020-1457/1425漏洞是怎么样的,小编觉得挺实用的,因此分享给大家学习,希望大家阅读完这篇文章后可以有所收获,话不多说,跟着小编一起来看看吧。0x00 漏洞背景2…
免责声明:本站发布的图片视频文字,以转载和分享为主,文章观点不代表本站立场,本站不承担相关法律责任;如果涉及侵权请联系邮箱:360163164@qq.com举报,并提供相关证据,经查实将立刻删除涉嫌侵权内容。
微信扫一扫 
