|
- 帖子
- 770
- 积分
- 1366
- 威望
- 1586
- 金钱
- 821
- 在线时间
- 94 小时
      
|
2009年12月19日 23:40 作者:流淚╮鮭鮭 来源:Chinallww.cn 3AST网络安全
1 |6 |. a! y0 j" E% R5 }# l; [% D2 Z/ F5 R& Y
最近很忙,互联网也很乱.可以说人人自危,3AST也因此转移了几次..
4 W# ]' I3 Y! a* S9 h 今天没事,就说说关于网站入侵.
$ [6 p' K$ ^5 P5 |: H! _3 ~
; P) ~. W; R; H9 c1,确定目标
- f" s2 j5 \/ \* \
* C$ b, y. c# ]* c+ F$ h 没目标你入侵什么? 所以有个目标才能入侵.不过不能因为一点小小的难度而放弃.那样就缺乏了挑战性...# \# V, p2 g6 [, D! Q d
7 S2 K" {( ?- O p
2,了解目标网站情况
# O _! O5 e1 o' \" `0 u2 {( v. Y2 K6 _, q, _! i4 R2 q
需要了解的有.
1 }; ^! f+ M4 i; Z( Q3 f; g- f- d2 B! A3 O x: |; g
(1),是利用什么语言编写的网站,比如说常见的 html asp php...不常见的 jsp shtml..) T7 I4 e7 @" b9 R9 C" o5 i
(2),了解编写语言,接下来就需要了解,你要入侵的目标是个 整站系统.还是别人自行开发的程序.如果是前者则可以去下载个源文件,过来研究源文件(默认后台,默认帐号密码,默认数据库__等等可利用的.).后者的话/..就是下一步了.
! H6 F" w- ]" c
# s2 ]3 V: V& H- N( I3,了解他的漏洞
% q5 ~* o) U" {% I7 C b6 o
. v, a: |3 A/ t# n, B 如果是整站系统大家可以 百度 或者 谷歌下,找找是否有最新漏洞.或者老漏洞.如果有不妨都试试....
3 n2 P4 c; O% ]& E4 E" u" l 如果是别人自行开发的程序那就找不到源文件.也找不到已知漏洞了.所以就得自己用手工,或者工具.去尝试注入.暴路径.爆数据库.之类的..
1 l7 g* y( ]2 h; m
, |" w0 n& J! \* Q$ k Y) e4.拿shell..
' a$ o- O: p) o2 T; {2 |
5 ~. e" ~/ F$ B# }1 x 拿到管理员帐号密码之后进入后台...要拿到更高的权限必须得拿shell...拿shell的几种常见方法..
* X9 E7 K8 q0 l: A" @ 1.备份拿shell(很简单.网上很多教程)
3 J- W% B* w- Y! s0 d6 r 2.上传漏洞(利用抓包.再利用NC上传..)% N5 f. i9 t6 l
3.一句话(一句话木马经常用到)6 G- r; D6 k& N# _0 V
还有很多拿shell的方法.在这就不说这么多了..
+ J7 O: g% y4 I- N, g# G
1 q, J+ `2 l* Y' V9 c5.拿服务器/, F! p' S: Z: J4 `
4 L3 L) n8 b7 o6 v1 j
几种常见的方法.
+ H6 C1 A; U3 A serv-u (很多WEBSHELL都自带这个功能.): a8 m: |; b% _9 t. ^* R" D6 Q
上传CMD(添加帐号.再加入到管理员组,,前提是wscript.shell √ 命令行执行组件 )1 T' Q9 z* x H- U% N& O
pcAnywhere.(远控软件,多用在服务器...)' k3 ]! b. X8 E, G. J2 ~: G
.......................... 拿服务器的方法还有很多,不一一列出....
. v5 k7 ]( c O0 v" r0 R! ]' i, s& ]0 Z# m+ w* t: r6 B
6.总结.. g! g- ~4 S2 e) L' a0 V
) L. Z# v# e# c# P& U H 哎,很久没说话了,废话了这么多.
% _$ i$ l* W1 E, ^* L6 f5 W/ [+ U4 u, {; b
很久没写东西了.最近为了我自己的博客.写了几篇了.
8 n2 i- J" m) R+ B& ~9 k2 f8 G+ I3 @- w! [
希望大家多支持俺博客哈.. |
-
1
评分人数
-
|
发表于 2009-12-19 23:47
| 
发表于 2009-12-20 17:01
| 
发表于 2009-12-20 23:43
| 
娃娃,找不到你QQ号了