|
- 帖子
- 770
- 积分
- 1366
- 威望
- 1586
- 金钱
- 821
- 在线时间
- 94 小时
      
|
2009年12月19日 23:40 作者:流淚╮鮭鮭 来源:Chinallww.cn 3AST网络安全
+ _/ s6 X) }! z( F2 y2 t/ d9 \5 K
3 r& s4 E* N5 x4 i) E! O最近很忙,互联网也很乱.可以说人人自危,3AST也因此转移了几次..
* Q; k! @6 F% P) h4 w: _0 O 今天没事,就说说关于网站入侵.
' ^5 m3 s/ z) o* G5 k5 S4 {! H9 q/ G5 Y5 I
1,确定目标4 `* g' T# f! K3 o H! R$ t
- Z5 v+ z8 n0 H1 `7 X% H; t- m
没目标你入侵什么? 所以有个目标才能入侵.不过不能因为一点小小的难度而放弃.那样就缺乏了挑战性...
8 P1 J# @, f5 z" j/ d' O3 b. n9 O; D
2,了解目标网站情况% C6 z0 k! O+ N5 p
! x4 B4 k- c% h6 W
需要了解的有.
$ Y8 D# G- G; ` M6 X3 u8 u1 j& g- Z: j, G+ k; B- W4 T- C3 S5 q( i
(1),是利用什么语言编写的网站,比如说常见的 html asp php...不常见的 jsp shtml.. j" x- X7 @0 Q+ U
(2),了解编写语言,接下来就需要了解,你要入侵的目标是个 整站系统.还是别人自行开发的程序.如果是前者则可以去下载个源文件,过来研究源文件(默认后台,默认帐号密码,默认数据库__等等可利用的.).后者的话/..就是下一步了.
; D! a; O3 X( I! m$ g4 |! `* k% o5 h7 z- R! V
3,了解他的漏洞
, U! Y8 J0 _7 y; }! t. k/ z- ^1 M9 a/ h/ p, g! o
如果是整站系统大家可以 百度 或者 谷歌下,找找是否有最新漏洞.或者老漏洞.如果有不妨都试试....0 n* u% A; d2 Y7 Z6 _- A! g
如果是别人自行开发的程序那就找不到源文件.也找不到已知漏洞了.所以就得自己用手工,或者工具.去尝试注入.暴路径.爆数据库.之类的..1 k& k `0 L Z
' W% T. w( Y( {6 a! B
4.拿shell..
% y) X# P1 K# v& a% D4 \/ z4 ?8 i- b6 W$ [4 I
拿到管理员帐号密码之后进入后台...要拿到更高的权限必须得拿shell...拿shell的几种常见方法..2 v- Q% v, q$ t1 n# i6 w& e! o
1.备份拿shell(很简单.网上很多教程)
* C( P9 R& _1 _! Y 2.上传漏洞(利用抓包.再利用NC上传..)
. [& J, _0 r* V, M8 t; d 3.一句话(一句话木马经常用到); n0 E( p" A# U$ W: M% ^
还有很多拿shell的方法.在这就不说这么多了..
% x* I$ S/ }: n* n6 {3 W6 n2 G5 l# t0 k
5.拿服务器/
1 y- i& p Q5 Q3 |- K! V
' C- b8 |+ p6 O/ b 几种常见的方法.
5 O4 O8 _- ?% O/ v serv-u (很多WEBSHELL都自带这个功能.): L6 F6 i1 X" K; ^2 M* X v6 Q# S
上传CMD(添加帐号.再加入到管理员组,,前提是wscript.shell √ 命令行执行组件 )
, _' w9 R* S0 G pcAnywhere.(远控软件,多用在服务器...)) r+ S( u5 ?8 {* k: m2 O' v
.......................... 拿服务器的方法还有很多,不一一列出....( s5 `; y& N8 B' y I5 d) ~- K$ W5 @
* e9 c5 s) X5 a
6.总结.1 \ c6 ^6 b; m+ L) n5 Q5 C
, `' ]5 M& a( S2 O# Q+ t0 z 哎,很久没说话了,废话了这么多.
0 c7 ?# c% x3 g7 y0 }3 P# C' ^1 X1 u. J' A
很久没写东西了.最近为了我自己的博客.写了几篇了.
2 a, z4 z; K& p5 x" A& h
6 ^- m) K# {- s4 N5 e 希望大家多支持俺博客哈.. |
-
1
评分人数
-
|
发表于 2009-12-19 23:47
| 
发表于 2009-12-20 17:01
| 
发表于 2009-12-20 23:43
| 
娃娃,找不到你QQ号了