|
- 帖子
- 770
- 积分
- 1366
- 威望
- 1586
- 金钱
- 821
- 在线时间
- 94 小时
      
|
2009年12月19日 23:40 作者:流淚╮鮭鮭 来源:Chinallww.cn 3AST网络安全
" p- w0 s: t* l* q, _$ t' J; J4 l# y$ z* I- a4 N
最近很忙,互联网也很乱.可以说人人自危,3AST也因此转移了几次..
5 I6 N4 K& Q" n% ~# [ 今天没事,就说说关于网站入侵. ?( P5 |3 k7 J' z9 R0 C/ S6 m
- s0 u1 i( W9 N% n. J- w
1,确定目标
- ~7 u0 n# d) I" b7 D7 E6 ~) s v% l7 q+ P; Y( \: D
没目标你入侵什么? 所以有个目标才能入侵.不过不能因为一点小小的难度而放弃.那样就缺乏了挑战性...; j" e- l; Q. ^$ ^6 F3 R
& r1 F9 U; }% N- R1 V7 P
2,了解目标网站情况
* D1 n' g9 s& p
: |/ r7 l. E2 Y6 O2 H& F3 T需要了解的有.
$ f# p# O7 N. B7 _7 K+ u2 f% ?* d% J6 D+ y8 ^6 c, A
(1),是利用什么语言编写的网站,比如说常见的 html asp php...不常见的 jsp shtml..
# m" J4 P- a7 T3 w, o! v: G(2),了解编写语言,接下来就需要了解,你要入侵的目标是个 整站系统.还是别人自行开发的程序.如果是前者则可以去下载个源文件,过来研究源文件(默认后台,默认帐号密码,默认数据库__等等可利用的.).后者的话/..就是下一步了.
. ~2 o% u. x" w2 j' @# R3 p7 U3 ^9 P' @8 z) h4 T
3,了解他的漏洞
' |3 v, {! ~" a4 ? ^8 C( v( H0 m H
- I; n6 T4 h# z# A 如果是整站系统大家可以 百度 或者 谷歌下,找找是否有最新漏洞.或者老漏洞.如果有不妨都试试....
+ V$ K5 }% |9 t1 k 如果是别人自行开发的程序那就找不到源文件.也找不到已知漏洞了.所以就得自己用手工,或者工具.去尝试注入.暴路径.爆数据库.之类的..
1 ]- e: |1 N6 s$ o
/ u: f; o; K* q" i- ^/ G [4.拿shell..$ E, s( L: A+ `
d1 \% i- f% a) _5 F
拿到管理员帐号密码之后进入后台...要拿到更高的权限必须得拿shell...拿shell的几种常见方法..' y; h2 D, [9 s
1.备份拿shell(很简单.网上很多教程)5 L: l1 F- }. q' x
2.上传漏洞(利用抓包.再利用NC上传..)
8 b* R4 t* J( h# w 3.一句话(一句话木马经常用到)
5 s& C; ?& q+ B8 j4 x% \- M 还有很多拿shell的方法.在这就不说这么多了..' @7 F U6 G/ r' L
/ z& q3 f8 @7 W9 c! v" B2 p; K0 U
5.拿服务器/
& n. U: s) m' X4 v. F1 S B: e" Y# O
几种常见的方法.
$ M4 D. q2 w' f& P serv-u (很多WEBSHELL都自带这个功能.)
0 @: Q# Y1 Z6 E+ m* g2 s' o8 o 上传CMD(添加帐号.再加入到管理员组,,前提是wscript.shell √ 命令行执行组件 )
5 Z c- S0 j1 r/ l/ n j pcAnywhere.(远控软件,多用在服务器...)
7 L( Z( I( k/ |0 q .......................... 拿服务器的方法还有很多,不一一列出....; f' @" Z5 V7 e* I
& k. g6 ^8 L# b6.总结.
* l; F8 d2 U9 e" I
( i6 I; j/ b* i# Y b 哎,很久没说话了,废话了这么多.4 D. e' X, o/ Z% n) A) R
6 D. u7 P. {! f& q& x ^$ E; y 很久没写东西了.最近为了我自己的博客.写了几篇了.: A2 X" E# s n ?% W' y* W
" |7 v }6 ]9 u! `6 U
希望大家多支持俺博客哈.. |
-
1
评分人数
-
|
发表于 2009-12-19 23:47
| 
发表于 2009-12-20 17:01
| 
发表于 2009-12-20 23:43
| 
娃娃,找不到你QQ号了