|
- 帖子
- 770
- 积分
- 1366
- 威望
- 1586
- 金钱
- 821
- 在线时间
- 94 小时
      
|
2009年12月19日 23:40 作者:流淚╮鮭鮭 来源:Chinallww.cn 3AST网络安全 & y6 J3 H2 E5 N) V% ^8 h
) P6 ~) y- M# L, W& Z1 s
最近很忙,互联网也很乱.可以说人人自危,3AST也因此转移了几次..) P! P4 l" Y9 q
今天没事,就说说关于网站入侵.
2 \6 T; W- B3 j: R5 p( m" e. @" l6 R* Z" }) U% G! Z& c
1,确定目标
# K' F7 f/ A l# |" ^4 {+ H) T3 Y+ [3 ~' a5 @4 t# p1 ?! Y
没目标你入侵什么? 所以有个目标才能入侵.不过不能因为一点小小的难度而放弃.那样就缺乏了挑战性...) D) \$ O5 l$ ^1 p
# _) V9 m3 I( l8 W
2,了解目标网站情况3 T7 {6 P& ?2 O
( N6 Z# f4 r7 K% W- q1 C* _- U
需要了解的有.
' e+ H9 ^! f) `! E6 k2 m4 {4 X1 U5 W5 B1 E
(1),是利用什么语言编写的网站,比如说常见的 html asp php...不常见的 jsp shtml..! `6 s" `. T- o1 t4 c
(2),了解编写语言,接下来就需要了解,你要入侵的目标是个 整站系统.还是别人自行开发的程序.如果是前者则可以去下载个源文件,过来研究源文件(默认后台,默认帐号密码,默认数据库__等等可利用的.).后者的话/..就是下一步了.
6 g& l4 ~- C0 @1 x. _5 S. [# t7 |( g5 r/ i! z" l
3,了解他的漏洞3 B+ A5 e" c7 [" V( U
9 `& I( J. }, q
如果是整站系统大家可以 百度 或者 谷歌下,找找是否有最新漏洞.或者老漏洞.如果有不妨都试试....
" p" q8 {0 E) n% A 如果是别人自行开发的程序那就找不到源文件.也找不到已知漏洞了.所以就得自己用手工,或者工具.去尝试注入.暴路径.爆数据库.之类的..2 }2 v, W0 E! E# r0 K
" p& Q6 n, v4 X$ X3 k2 C2 h4.拿shell..- P0 Z' H# [3 n) ~# D+ H
: t# j2 D7 ~% h( w& H1 P; _' B
拿到管理员帐号密码之后进入后台...要拿到更高的权限必须得拿shell...拿shell的几种常见方法..4 ?( X" P# q; f% G+ \$ L6 q
1.备份拿shell(很简单.网上很多教程)
9 ~6 ?/ l: o" z) o/ O' ^4 L 2.上传漏洞(利用抓包.再利用NC上传..) }! Y" J0 i4 s8 ^1 H2 z
3.一句话(一句话木马经常用到)
" y) o6 d, [/ Y 还有很多拿shell的方法.在这就不说这么多了..0 t% F& Z$ O7 o/ x6 i
8 @! F- O$ s6 @/ G& a5.拿服务器/
/ n9 z% s2 r$ k* v3 {% }* \" H$ U k% P; z# U) F7 S! o) ?* o
几种常见的方法.% H) t* X4 \+ s: l
serv-u (很多WEBSHELL都自带这个功能.); n6 \8 d( ^ E: V u5 i
上传CMD(添加帐号.再加入到管理员组,,前提是wscript.shell √ 命令行执行组件 )0 j s3 v2 \) O+ G. j# T* U* P# \
pcAnywhere.(远控软件,多用在服务器...)
3 Q3 R* W2 B. @3 v6 S* w! F+ r- b2 ~+ T .......................... 拿服务器的方法还有很多,不一一列出....3 p: H B; y- f) U; U1 q
) }4 v' {4 O% F; l; c* r
6.总结.
* b1 f. }' C* A! U( ?9 D' d: d# R) Q: x! C" f& Y) y& K
哎,很久没说话了,废话了这么多.1 p4 Y6 u: I" T' Z
* r9 e- z8 ` G
很久没写东西了.最近为了我自己的博客.写了几篇了.9 ?, `( J: E! n1 x" L1 t3 L% _
: G/ f6 B& p8 R6 R3 ` d* C" ^
希望大家多支持俺博客哈.. |
-
1
评分人数
-
|
发表于 2009-12-19 23:47
| 
