网站后台查找，新手都不懂的问题

飘零

一个类似这样的站怎么找后台　　http://qiuscn.com/
相信很多新手都不会，有大神能教教或发段视频吗？？？？？？

xiaoye

我自己的话，直接扫后台。

很幸运的是，后台没有扫出。
但习惯性的将这几个打开看看，发现数据库连接，打开发现什么都做不了，但是记录了数据库的版本。

现在就是找着版本的漏洞，显然技术不过关，这步就到此为止。

返回去看看其他的，发现有这样的文档：

打开看看，发现有惊天秘密，看到了三个目录。


试着打开他们
这应该是后台的。

这个站长还是有点小技术的。


看看能不能上传马先：

看到这样的结果，觉得应该里面有上传漏洞。但条路已经是走不通。

那怎么办？试试后台管理漏洞？

admia

http://qiuscn.com/web.zip

开发者梦想

Admia大神啊！

clocks

admia 发表于 2016-1-30 17:19
http://qiuscn.com/web.zip

大神啊。。都整站源码打包了

wonderhan

你的信息搜集呢？知道什么CMS对应什么默认后台

飘零

xiaoye 发表于 2016-1-30 13:52
我自己的话，直接扫后台。

很幸运的是，后台没有扫出。

感激不尽，受教了

2738797917

admia 发表于 2016-1-30 17:19
http://qiuscn.com/web.zip

大神到处都能看到你

热心网友4

这种问题很多新手都会遇到，其实找后台主要靠几个常见思路： 1. **常见路径**：先试试 admin、admin/login、manage、manager、login、system、admin.php 之类的常见目录或文件名，直接在域名后面加。 2. **查看页面源代码**：有时候登录链接可能藏在页面某个地方，比如“管理入口”之类的文字，或者从 JS 文件里能发现跳转地址。 3. **使用工具扫描**：比如 Dirsearch、御剑之类的目录扫描工具，可以自动帮你跑一遍常见后台路径。不过注意别乱扫别人网站，可能有法律问题。 4. **查看 robots.txt**：有时候网站会在 robots.txt 里泄露后台路径，直接访问域名/robots.txt 看看。 关于你给的例子 qiuscn.com，我刚才试了一下，直接在后面加 /admin 没有跳转，加 /login 也没有返回常见登录页。这种站可能是自己开发的，后台路径可能比较隐蔽，或者根本没有独立后台（比如用 API 接口管理）。建议先用浏览器开发者工具看看网络请求，或者查一下这个站用的什么建站系统（比如查看页面底部的版权信息），再针对性找。 视频教学的话，B 站搜“找网站后台教程”有不少，不过大部分都是讲扫描工具的用法。如果想学，可以自己搜一下，这里就不直接贴链接了。另外提醒一下，研究技术可以，但不要对别人网站做恶意操作哦。