3.4　后臺問題

在Web滲透中，后臺文件的利用常常會有意想不到的效果。而一個網站后臺路徑的暴露就等同于將家的具體位置給暴露了，為了杜絕這種現象發生，開發人員經常采用復制的后臺路徑，給滲透帶來了難度。那常見的后臺地址查找方法又有哪些呢？

3.4.1　后臺地址查找

1．掃描器、爬蟲

常見的后臺掃描器是用外載字典對路徑進行爆破，而這種方法的局限性也很明顯，字典的強度決定了成功率。而相比較而言，爬蟲常常能爬出那些很隱秘的目錄，增加爆破的成功率。

2．搜索引擎

對于后臺查找，常用的語法無非intext、inurl、intitle等最基本的搜索語法，簡單又實用，還常常有意外的收獲。

3．頁面信息

在火狐瀏覽器中訪問一個Web站點，在瀏覽器空白界面右擊，單擊“查看頁面信息”，效果如圖3-31所示。

在媒體頁面信息中可以看到多媒體文件路徑，包括圖片等的路徑。因為這些圖片往往是管理員在后臺更新時上傳的，而有些Web站點的上傳目錄分配不嚴格，如上傳目錄是后臺目錄的子目錄，所以導致了后臺路徑就隱藏在圖片路徑中。

4．XSS

XSS的危害十分巨大卻又常常被忽略，我們在第5章會詳細討論更多的前端技術。

5．二級域名及其他端口

在對大型網站進行滲透時，常常發現一個現象。比如從目標站點的一個二級域名入手進行Web滲透，但其后臺登錄接口往往是另一個二級域名或三級域名。因此在滲透中用腳本對目標站點的二級域名進行爆破還是很有必要的。

其他端口又怎么樣呢？一般Web站點默認端口是80端口，但在實際滲透中，常常會發現某個站點前臺確實是80端口，而后臺登錄端口往往是其他端口，像8000、8080、8001都很常見。所以，在滲透前對目標的信息搜集要盡量到位和全面，以免滲透中為此浪費大量時間和精力。

6．訪問來源

此方法對一些有留言板或是能和管理員交互的站點較為有效。首先，需要準備一個自己的站點，然后在此站點中添加站長統計的JS，將準備的站點網址以添加友鏈的名義發給滲透目標的管理員。當滲透目標的管理員訪問了發給他的網址時，這時在站長統計后臺便能看到訪問來源了，而一般管理員是在后臺對一些留言進行審核，所以訪問來源常常就是后臺地址。

在開發中，后臺是為了方便管理員對網站進行更新，因此功能往往很多，如添加管理員，數據庫備份下載，文件上傳等。功能強大，伴隨而來的常常是安全問題。在滲透中，對后臺的巧妙利用更勝于在前臺大費周章地挖掘漏洞。那常見的后臺利用又有哪些呢？

3.4.2　后臺驗證繞過

滲透中，有些Web站點的后臺使用了JavaScript驗證和固定cookie，而這類驗證被繞過的可能性很大。就拿JavaScript驗證來說，因為它發生在客戶端，因此對于這類后臺只要在瀏覽器中把JavaScript禁止掉就能正常訪問后臺了。例如，藍科CMS中對后臺的驗證就是JavaScript，如圖3-32所示，可以看到JS開啟的時候，無法訪問后臺。

當把火狐瀏覽器的javascript.enabled設置為false時，再次對后臺進行訪問，如圖3-33所示，可以看到成功訪問了后臺，輕松地繞過了JavaScript的驗證。

3.4.3　后臺越權

局部未授權訪問是很多后臺出現的問題，意思就是后臺中的某個頁面可以被訪問。最常見的類似于管理員管理、數據庫操作、文件上傳之類，從而引發任意添加管理員、數據泄露、getshell等嚴重問題。而當面對后臺里那些非高危的越權時，應該怎么辦呢？

1．越權XSS

對于一些低危的后臺越權，開發者們常常不怎么重視，而往往問題都是出在小問題上。大多數情況下，后臺相比前臺要脆弱太多，很多后臺XSS、后臺注入之類，在開發者、攻擊者眼中很“雞肋”，但是如果將其與越權結合起來，其實質就和前臺的漏洞差不多。例如網站基本信息頁面的越權，單從越權角度來看確實沒什么影響，無非是一些公司名之類的。但是如果攻擊者在基本信息中插入XSS代碼，那危害性甚至超過了前臺的XSS。

2．越權注入

后臺中常常也有很多數據庫查詢，如新聞搜索與會員操作等。其實，對數據庫的任何操作都有可能引發注入，而往往后臺本身有很多注入，但后臺經常忽視。例如新聞管理頁面的越權，無論是新聞的刪除、添加、修改或搜索都要對數據庫進行操作，如果開發者因為其是后臺而未做過濾或過濾不足的話，那危害可想而知。

3.4.4　后臺文件的利用

對于后臺文件的利用，常見的有文件上傳、備份下載、數據庫下載、robots.txt、探針等，這些文件帶來的影響有大有小，上至getshell，下至信息泄漏。對于后臺文件掃描，只需要留意某些特定的后綴即可，如rar、txt、mdb、sql等，這樣能大大節省掃描時間，提高效率。