标题:
入侵基本思路
[打印本页]
作者:
流氓
时间:
2008-8-21 07:40
标题:
入侵基本思路
本文主要是为菜鸟朋友系统的学习入侵网站的基本思路,有些刚入门的菜鸟朋友拿到
一个网站后不知道如何下手,这里我给出入侵网站的整体思路,这个思路是目前入侵
网站的主流,也是目前通用的入侵网站思路。好了,下面看具体内容。
入侵网站之通用手法
一.首先看看有没有上传漏洞。
用工具扫目标网站,看看是否有上传的漏洞----存在漏洞就上传个小马----然后就上
传大马。这样就得到了整个网站的WEBSHELL。
二.没上传漏洞,就可以扫扫存不存在注入点。若存在,则:
扫出管理员账号和密码----扫后台-----进入后台找上传文件的地方----把ASP木马改
成图片格式上传,然后用备份数据库功能备份成ASP木马-----得到网站webshell。
三.若也不存在注入漏洞。则:
1.看看是否存在默认数据库比如BBSXP默认为/bbs/database/bbsxp.mdb dvbbs默认为
/bbs/database/dvbbs7.mdb等等,或查看与入侵目标网站相同网站的源代码,找到默
认数据库下载地址-----找到管理员账号和密码-----由论坛登陆后台管理,查找上传
文件或图片的地方,把ASP木马改成图片形式上传。------利用备份数据库功能,备
份成ASP木马。--------得到网站webshell。
2.利用爆库漏洞,下载整个数据库,得到数据库后的步骤就与上面一样了。
四,若注入没什么利用价值,也不存在以上的相关漏洞。不过只找到一个后台。则:
可以尝试以下几个看看能不能进入,
'or''=''or''or' asp'or'1 'or'='or' 'or''='
很多时候得到后台就可以通过这些进入了后台,进入后台后的步骤就同上。
五.如果一个站点不存在以上的漏洞,找不到任何突破口,下面就要用到旁注了。看
看这个网站的服务器绑定了多少个域名,对每个域名进行以上一到四这四个过程的检
测,若拿到其它域名的WEBSHELL-------接下来就是提升权限拿系统权限-----通过提
升系统权进一点控制这个不存在漏洞的网站
作者:
猫咪
时间:
2008-8-22 01:14
谢谢分享了
菜鸟们可以借鉴下``:handshake
作者:
1022615
时间:
2008-8-22 17:35
学习学习!!!:kiss: :kiss: :handshake
作者:
ylw7999
时间:
2008-9-1 23:32
好好学习,天天向上!
作者:
4号
时间:
2008-9-5 18:43
没看明白, 看不懂代码和易语言 只能大概忽略下意思
作者:
sword
时间:
2008-9-5 21:52
学习学习!写的很好!
作者:
liuzhihai
时间:
2008-9-16 11:25
谢谢 ......
作者:
假装
时间:
2008-9-30 14:44
标题:
有内容
支持一下!!!值得学习
作者:
Fg-3
时间:
2008-10-31 12:01
学习学习 模糊 要实践 才行啊
作者:
img527
时间:
2008-11-19 20:27
:) :) 每天学一贴,进步每天天!
作者:
hilarylove
时间:
2008-11-20 01:02
的确使好东西
作者:
寒风淋云
时间:
2008-11-23 11:51
菜菜 学习了:)
作者:
BKK
时间:
2008-11-27 19:20
不错不错。。。不过有些低级漏洞现在忒少了。。
作者:
烟舞秀
时间:
2009-3-22 01:48
学习研究试验中!
作者:
黑白一刻
时间:
2009-3-24 07:21
学习了,写的很详细,谢谢楼主分享
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/)
Powered by Discuz! 7.2