|
- 帖子
- 770
- 积分
- 1366
- 威望
- 1586
- 金钱
- 821
- 在线时间
- 94 小时
      
|
2009年12月19日 23:40 作者:流淚╮鮭鮭 来源:Chinallww.cn 3AST网络安全
: W4 ?1 v; O! m7 y
k8 Y7 A7 X1 [' f3 c最近很忙,互联网也很乱.可以说人人自危,3AST也因此转移了几次..
3 A6 M2 _2 H: D/ O 今天没事,就说说关于网站入侵.: e4 Q/ V3 F' W- y9 g" n/ M' M+ i2 d
2 }3 I. Z7 \1 A0 ^' M b. v. L5 U/ A* U1,确定目标; `# t& z1 Q5 n% I1 Q4 J! p& Y! e, Q
. d$ s5 R$ g& [* y$ l1 R( e* X% r
没目标你入侵什么? 所以有个目标才能入侵.不过不能因为一点小小的难度而放弃.那样就缺乏了挑战性...
9 G/ l. z `& b& G1 M( Z( K# [! x; Z9 q$ r( _
2,了解目标网站情况0 |9 M0 E7 k- a3 _# N7 P
. M: f8 s8 l0 U- V3 G& X需要了解的有. l2 b8 u' S: j
9 s- R/ ]7 T7 v. o& h(1),是利用什么语言编写的网站,比如说常见的 html asp php...不常见的 jsp shtml..9 V; o& q! z1 C
(2),了解编写语言,接下来就需要了解,你要入侵的目标是个 整站系统.还是别人自行开发的程序.如果是前者则可以去下载个源文件,过来研究源文件(默认后台,默认帐号密码,默认数据库__等等可利用的.).后者的话/..就是下一步了.# z! p4 U/ g1 ^" c7 g: m
- M( Q1 r$ a% B- h
3,了解他的漏洞
: f9 b: E' W% L( y
; ~# h5 o; b7 G7 P, }8 U/ f 如果是整站系统大家可以 百度 或者 谷歌下,找找是否有最新漏洞.或者老漏洞.如果有不妨都试试....4 X6 [* W% o( L+ `
如果是别人自行开发的程序那就找不到源文件.也找不到已知漏洞了.所以就得自己用手工,或者工具.去尝试注入.暴路径.爆数据库.之类的..
! n0 c% F6 U% K$ D* B
9 z: Y2 }+ }: A# B9 b& b4.拿shell..2 B* Z4 d% r- O# y; r4 d; ~
$ N' b/ W1 V9 u' x8 z- \! o# Z 拿到管理员帐号密码之后进入后台...要拿到更高的权限必须得拿shell...拿shell的几种常见方法..3 ~1 _1 L8 S6 W' L
1.备份拿shell(很简单.网上很多教程)1 @8 \, z9 `& K, A+ |$ K
2.上传漏洞(利用抓包.再利用NC上传..)3 w) E: f, @; n/ r# L! ~
3.一句话(一句话木马经常用到)
! m o- n8 I1 A! P1 e; |$ j 还有很多拿shell的方法.在这就不说这么多了..
3 S0 |, C' R- `9 r! k
3 i5 ]$ Z) H) ?* C1 E: T) k5.拿服务器/
+ R2 r8 {8 e9 k2 @% P) b9 k; O6 }. S9 _: b
几种常见的方法.
" I- `( J/ j. I4 k2 a+ E serv-u (很多WEBSHELL都自带这个功能.)
; W5 W' g$ @( W) j7 Z E 上传CMD(添加帐号.再加入到管理员组,,前提是wscript.shell √ 命令行执行组件 )
: {) T9 j; q; m) ^ pcAnywhere.(远控软件,多用在服务器...)
9 O3 \( n6 a0 | H .......................... 拿服务器的方法还有很多,不一一列出....
" s% Z) o9 n: G1 t$ z
7 {. v; G; N2 d- ^' L7 U+ p8 j# ?6.总结.$ h3 p ]1 i* c
, C' J' S- _( a4 G6 D
哎,很久没说话了,废话了这么多.
7 h3 D7 [" q: p d) n
+ N( ~( c2 g, z$ W3 I/ t 很久没写东西了.最近为了我自己的博客.写了几篇了.
3 T. x$ k3 v3 _+ D+ ? t
+ W' \( @, h3 T8 Q 希望大家多支持俺博客哈.. |
-
1
评分人数
-
|
发表于 2009-12-19 23:47
| 
发表于 2009-12-20 17:01
| 
发表于 2009-12-20 23:43
| 
娃娃,找不到你QQ号了