|
- 帖子
- 770
- 积分
- 1366
- 威望
- 1586
- 金钱
- 821
- 在线时间
- 94 小时
      
|
2009年12月19日 23:40 作者:流淚╮鮭鮭 来源:Chinallww.cn 3AST网络安全
* f3 n; Q! ~" z8 Z# x- U, @* T
最近很忙,互联网也很乱.可以说人人自危,3AST也因此转移了几次..1 H% d+ ~* G0 a, x- T# `
今天没事,就说说关于网站入侵.
& C: R3 r9 D3 o# d) w& o, p3 y3 l' H
1,确定目标6 U$ k4 `6 ] L3 C% q) G( @
5 |, T8 X3 ]7 p( L' |0 D1 o
没目标你入侵什么? 所以有个目标才能入侵.不过不能因为一点小小的难度而放弃.那样就缺乏了挑战性...
7 s3 o7 h( d# {& N* _* i7 D$ N6 o9 w; F( Q, g6 Z+ g! H- F
2,了解目标网站情况) N1 _9 D* ?2 ~
5 n+ T3 F) v7 \8 u! `5 t3 }8 }需要了解的有.
6 _9 k) z3 U) ~% O) K" f, q* H5 A. U7 X9 y5 N
(1),是利用什么语言编写的网站,比如说常见的 html asp php...不常见的 jsp shtml..: l8 y. j! a+ Z% |1 ?0 B
(2),了解编写语言,接下来就需要了解,你要入侵的目标是个 整站系统.还是别人自行开发的程序.如果是前者则可以去下载个源文件,过来研究源文件(默认后台,默认帐号密码,默认数据库__等等可利用的.).后者的话/..就是下一步了.* p6 j c6 J4 \7 ?8 _( n
( w3 ?2 g2 G: z" [4 {' V3,了解他的漏洞5 i9 N7 e) K: f! x/ A0 N
$ c8 H' X) B" Q | 如果是整站系统大家可以 百度 或者 谷歌下,找找是否有最新漏洞.或者老漏洞.如果有不妨都试试..... R, R! O( X" L
如果是别人自行开发的程序那就找不到源文件.也找不到已知漏洞了.所以就得自己用手工,或者工具.去尝试注入.暴路径.爆数据库.之类的..
6 ^( F2 m0 K$ a, U& _% B( i8 a! i( y! h N
4.拿shell..
% {. T: P! T* l
2 ^" r' O4 N; B4 Y2 r 拿到管理员帐号密码之后进入后台...要拿到更高的权限必须得拿shell...拿shell的几种常见方法..: J& y7 s; U4 e; o0 P7 Q8 }& m
1.备份拿shell(很简单.网上很多教程): E! y$ L, T: ?+ |" h6 |! ]0 s
2.上传漏洞(利用抓包.再利用NC上传..)
5 ~" ?/ \7 d) i. P! R' C* X1 u 3.一句话(一句话木马经常用到)
. \% \4 X w* c 还有很多拿shell的方法.在这就不说这么多了..
! G. z& v7 N& ?7 A, U3 O a3 B
! g( e0 s1 M9 Q4 S6 `! C5.拿服务器/% N H. I/ ?& S/ p9 X! y8 G
1 P/ h* G8 E7 h% H% p4 n: V
几种常见的方法.8 x7 u$ T& s9 ]
serv-u (很多WEBSHELL都自带这个功能.)9 ^8 y5 w' t- ~& j
上传CMD(添加帐号.再加入到管理员组,,前提是wscript.shell √ 命令行执行组件 )
$ p- z) Y& y: s9 [) s* i, G pcAnywhere.(远控软件,多用在服务器...)' |/ x( b3 a3 m
.......................... 拿服务器的方法还有很多,不一一列出....8 ^ {! V. C% ?; f1 h
9 A# E' [/ k4 V' K- L
6.总结.7 p+ H1 m7 N9 C+ K
$ v7 c9 K2 b$ g( g$ j; V! _ 哎,很久没说话了,废话了这么多.: n6 u" T0 k0 N
1 B3 E: Z6 A) o# }7 p! G9 \ 很久没写东西了.最近为了我自己的博客.写了几篇了.
" r; `) I4 m" Q- Q6 g& s5 M& o1 n0 l5 |- h2 B3 K/ H2 V
希望大家多支持俺博客哈.. |
-
1
评分人数
-
|
发表于 2009-12-19 23:47
| 
发表于 2012-5-16 00:17
| 
娃娃,找不到你QQ号了
发表于 2009-12-20 23:43
| 