【3.A.S.T】网络安全爱好者 - Powered by Discuz! Board

标题: 入侵基本思路 [打印本页]

作者: 流氓 时间: 2008-8-21 07:40 标题: 入侵基本思路

本文主要是为菜鸟朋友系统的学习入侵网站的基本思路，有些刚入门的菜鸟朋友拿到
一个网站后不知道如何下手，这里我给出入侵网站的整体思路，这个思路是目前入侵
网站的主流，也是目前通用的入侵网站思路。好了，下面看具体内容。

入侵网站之通用手法

一.首先看看有没有上传漏洞。

用工具扫目标网站，看看是否有上传的漏洞----存在漏洞就上传个小马----然后就上

传大马。这样就得到了整个网站的WEBSHELL。

二.没上传漏洞，就可以扫扫存不存在注入点。若存在，则：

扫出管理员账号和密码----扫后台-----进入后台找上传文件的地方----把ASP木马改

成图片格式上传，然后用备份数据库功能备份成ASP木马-----得到网站webshell。

三.若也不存在注入漏洞。则：

1.看看是否存在默认数据库比如BBSXP默认为/bbs/database/bbsxp.mdb dvbbs默认为

/bbs/database/dvbbs7.mdb等等，或查看与入侵目标网站相同网站的源代码，找到默

认数据库下载地址-----找到管理员账号和密码-----由论坛登陆后台管理，查找上传

文件或图片的地方，把ASP木马改成图片形式上传。------利用备份数据库功能，备

份成ASP木马。--------得到网站webshell。

2.利用爆库漏洞，下载整个数据库，得到数据库后的步骤就与上面一样了。

四，若注入没什么利用价值，也不存在以上的相关漏洞。不过只找到一个后台。则：

可以尝试以下几个看看能不能进入，

'or''=''or''or'　　　asp'or'1 'or'='or' 'or''='

很多时候得到后台就可以通过这些进入了后台，进入后台后的步骤就同上。

五.如果一个站点不存在以上的漏洞，找不到任何突破口，下面就要用到旁注了。看

看这个网站的服务器绑定了多少个域名，对每个域名进行以上一到四这四个过程的检

测，若拿到其它域名的WEBSHELL-------接下来就是提升权限拿系统权限-----通过提

升系统权进一点控制这个不存在漏洞的网站

作者: 猫咪 时间: 2008-8-22 01:14

谢谢分享了
菜鸟们可以借鉴下``:handshake

作者: 1022615 时间: 2008-8-22 17:35

学习学习！！！:kiss: :kiss: :handshake

作者: ylw7999 时间: 2008-9-1 23:32

好好学习，天天向上！

作者: 4号 时间: 2008-9-5 18:43

没看明白，看不懂代码和易语言只能大概忽略下意思

作者: sword 时间: 2008-9-5 21:52

学习学习！写的很好！

作者: liuzhihai 时间: 2008-9-16 11:25

谢谢 ......

作者: 假装 时间: 2008-9-30 14:44 标题: 有内容

支持一下！！！值得学习

作者: Fg-3 时间: 2008-10-31 12:01

学习学习模糊要实践才行啊

作者: img527 时间: 2008-11-19 20:27

:) :) 每天学一贴，进步每天天！

作者: hilarylove 时间: 2008-11-20 01:02

的确使好东西

作者: 寒风淋云 时间: 2008-11-23 11:51

菜菜学习了:)

作者: BKK 时间: 2008-11-27 19:20

不错不错。。。不过有些低级漏洞现在忒少了。。

作者: 烟舞秀 时间: 2009-3-22 01:48

学习研究试验中！

作者: 黑白一刻 时间: 2009-3-24 07:21

学习了，写的很详细，谢谢楼主分享

欢迎光临【3.A.S.T】网络安全爱好者 (http://3ast.com/)