[原创文章] 说说网站入侵 互联网

流淚╮鮭鮭

2009年12月19日 23:40  作者:流淚╮鮭鮭   来源:Chinallww.cn 3AST网络安全

3 @4 v8 ~; ?4 ]/ M; X, k7 `
/ x0 L" k9 V- X+ v+ [1 o2 Y
最近很忙,互联网也很乱.可以说人人自危,3AST也因此转移了几次..% q: ~. l( @+ g7 S7 Y, C4 a
   今天没事,就说说关于网站入侵.
8 a+ i  I6 O7 E$ D5 S
" C) k9 b, b4 H! g& m! K5 e7 b1,确定目标9 u8 v9 s, }. [" E
  `+ n" K8 ?* o, }
   没目标你入侵什么?  所以有个目标才能入侵.不过不能因为一点小小的难度而放弃.那样就缺乏了挑战性...
- o0 @: P$ G$ Y% J3 J8 A, M. g
2,了解目标网站情况
3 @; m" m! M  H" N# X2 X: r# \& T$ P' u" J1 a
需要了解的有.
8 M" `+ G1 f" Q8 w& i2 Y" B1 J
( `0 J: {  l  i9 k" m& Z(1),是利用什么语言编写的网站,比如说常见的 html asp php...不常见的 jsp shtml..
5 x4 M4 [! H; ~* s  U(2),了解编写语言,接下来就需要了解,你要入侵的目标是个 整站系统.还是别人自行开发的程序.如果是前者则可以去下载个源文件,过来研究源文件(默认后台,默认帐号密码,默认数据库__等等可利用的.).后者的话/..就是下一步了.
: o% J& z( k! K1 P' O# B5 y3 V) B$ u" \. B! F1 d& x$ v3 N, C3 h
3,了解他的漏洞3 T) a% U+ f6 I, u! ^

5 C: @- U. E( G9 J1 G6 a( V   如果是整站系统大家可以 百度 或者 谷歌下,找找是否有最新漏洞.或者老漏洞.如果有不妨都试试....1 U# L* T1 l7 m% {) S
     如果是别人自行开发的程序那就找不到源文件.也找不到已知漏洞了.所以就得自己用手工,或者工具.去尝试注入.暴路径.爆数据库.之类的..( y6 u3 f- Y  d
) z& \% {$ j0 _- i/ N
4.拿shell..2 I& q8 k0 J$ D8 Q, B6 k8 O
  j7 r7 ^& b# w( |) z
    拿到管理员帐号密码之后进入后台...要拿到更高的权限必须得拿shell...拿shell的几种常见方法..
; M4 @7 n7 f. q. H7 D    1.备份拿shell(很简单.网上很多教程)) z" m9 c9 q$ s% E4 s" ^( y) B7 u1 ^
    2.上传漏洞(利用抓包.再利用NC上传..)
4 C$ g+ I( K& U   3.一句话(一句话木马经常用到)
4 h5 G* ~$ K& ]5 o     还有很多拿shell的方法.在这就不说这么多了..
  a( A4 X8 [# r7 i3 h4 e" p# w9 I; n( V  @
5.拿服务器/
2 x7 U8 E$ L% U+ _4 M/ i' w/ a0 S- \0 O0 q* D
      几种常见的方法.1 S4 f& E. I5 p3 u
      serv-u (很多WEBSHELL都自带这个功能.)" w! \& b& n8 t: H$ U7 q% C
      上传CMD(添加帐号.再加入到管理员组,,前提是wscript.shell √ 命令行执行组件 )
7 @4 o1 s+ ~: v8 {4 y      pcAnywhere.(远控软件,多用在服务器...)" t0 d9 a" K0 |
      .......................... 拿服务器的方法还有很多,不一一列出....
( \  j) J! r/ H2 J: Q- D: A# e) M' |7 d7 ~
6.总结.* n) A. ]& s& A# B2 ~, o; m
% H" Q% I+ N. d9 ~0 C
        哎,很久没说话了,废话了这么多.& C. q% ~1 R4 r$ S# i/ r% P

# c8 o& h7 K% A        很久没写东西了.最近为了我自己的博客.写了几篇了.6 K  I* n3 @' v7 Z% l

7 f. r, g1 Q" {4 }( {        希望大家多支持俺博客哈..