待区分❗

----------------------------------------------------------------

扫描网站目录结构，看看是否可以遍历目录，或者敏感文件泄漏
robots.txt：指定了网站中不想被robot访问的目录
网站备份文件：网站源码、配置文件、数据库文件
后台目录：弱口令，万能密码，爆破
安装包：获取数据库信息，甚至是网站源码
上传目录：截断、上传图片马等
mysql管理接口：弱口令、爆破，万能密码，然后脱裤，甚至是拿到shell
安装页面 ：可以二次安装进而绕过
phpinfo：会把目标配置的各种信息暴露出来
编辑器：fck、ke、等
IIS短文件利用：条件比较苛刻 Windows、Apache等
探测目标网站后台目录可以通过字典扫描、目录爬行、开源程序、搜索引擎、二级域名、端口站点、备份文件等方式查找，相关工具有：
IntelliTamper、wwwscan 、御剑 、weakfilescan、 dirbuster、dirb、QWASP、Google Hacking等

----------------------------------------------------------------