- 帖子
- 770
- 积分
- 1366
- 威望
- 1586
- 金钱
- 821
- 在线时间
- 94 小时
|
2009年12月19日 23:40 作者:流淚╮鮭鮭 来源:Chinallww.cn 3AST网络安全 4 J, V# x: K3 o1 s
4 _3 X8 o" `# C# g! I A最近很忙,互联网也很乱.可以说人人自危,3AST也因此转移了几次..& m" T" L, t2 |
今天没事,就说说关于网站入侵.
; i$ O# Q0 t4 V: S) W! |# F2 w" i) _
1,确定目标" s* [2 e" R4 P) S( \& ?- m6 H7 E
; `( u2 _" i; j4 o5 U& P# N
没目标你入侵什么? 所以有个目标才能入侵.不过不能因为一点小小的难度而放弃.那样就缺乏了挑战性...
* {$ C5 G, [0 l: T0 w
* j$ b' U( e+ K+ U J$ J2,了解目标网站情况
- t" a+ o4 }' g% [$ Z5 z
( b3 h; _& _; T/ {5 A2 }需要了解的有.: h; ^$ b3 E1 v9 j, ?9 G
+ O: ]$ I& F7 ?9 F, q(1),是利用什么语言编写的网站,比如说常见的 html asp php...不常见的 jsp shtml..7 ]4 v# b! d5 k" G2 q! j
(2),了解编写语言,接下来就需要了解,你要入侵的目标是个 整站系统.还是别人自行开发的程序.如果是前者则可以去下载个源文件,过来研究源文件(默认后台,默认帐号密码,默认数据库__等等可利用的.).后者的话/..就是下一步了.
6 u$ j3 z V2 W8 _* w
" ~. `" @* f$ ^5 u% G$ F. D' ]' F3,了解他的漏洞
w8 o+ r8 |2 C/ @9 y4 b) t
8 J" f% b" L) h, z8 |) N 如果是整站系统大家可以 百度 或者 谷歌下,找找是否有最新漏洞.或者老漏洞.如果有不妨都试试....! [# ~" n0 _( y, K
如果是别人自行开发的程序那就找不到源文件.也找不到已知漏洞了.所以就得自己用手工,或者工具.去尝试注入.暴路径.爆数据库.之类的..
- D: N* k) p% b0 N5 z7 J- o
9 d: x" m% Z" A( }; R( W9 O- [" ^4.拿shell..
/ g. O, h# _1 D. } _# W. M }5 k5 ]4 h' V; l
拿到管理员帐号密码之后进入后台...要拿到更高的权限必须得拿shell...拿shell的几种常见方法..8 }9 }0 F9 Z. A* _
1.备份拿shell(很简单.网上很多教程): R& p) }* [( W/ E* s6 L; P/ L
2.上传漏洞(利用抓包.再利用NC上传..)0 h' J* I7 f: i5 s$ O: ?# j* T3 h
3.一句话(一句话木马经常用到)
) {. ?( Q5 H4 ~% b; u 还有很多拿shell的方法.在这就不说这么多了..2 D, V: y( m' [+ I
, P- e \* Q% ]/ h& h, E* O" |5.拿服务器/5 d+ n7 Z: @" N8 N* v. m, ?$ |$ J
0 Z* ^, ]5 f, u; y7 ^9 g( p) p
几种常见的方法.# A% v* S; ]% L
serv-u (很多WEBSHELL都自带这个功能.)% }3 } @/ b, \4 l8 z% k
上传CMD(添加帐号.再加入到管理员组,,前提是wscript.shell √ 命令行执行组件 )5 z( l# n, G- e
pcAnywhere.(远控软件,多用在服务器...)8 R3 l' n# d, P5 l% n6 r
.......................... 拿服务器的方法还有很多,不一一列出....
$ t) x# R& l. n# G8 k' e, g N, e/ o$ N4 G. \& y! V+ N% K
6.总结.3 _7 c0 \* E- n; C9 J1 ^
. ?/ A$ J d" N$ q( T/ O 哎,很久没说话了,废话了这么多.
2 Y5 X/ }5 M. H+ S" @% B, l0 J1 \8 [, v7 V; R
很久没写东西了.最近为了我自己的博客.写了几篇了.2 ]1 x" E: m) B
+ M2 S. b7 d* _$ c, R/ m$ N 希望大家多支持俺博客哈.. |
-
1
评分人数
-
|