[原创文章] 说说网站入侵

互联网

2009年12月19日 23:40 作者:流淚╮鮭鮭来源:Chinallww.cn 3AST网络安全

最近很忙,互联网也很乱.可以说人人自危,3AST也因此转移了几次..& X1 `% r3 ?1 d% d8 F. E! I
今天没事,就说说关于网站入侵.3 S( Q8 S: k# t4 I9 x5 }; k* m
: X4 y. Z4 W9 o! F7 S8 K
1,确定目标9 D6 @- `* Q: I) X

没目标你入侵什么?  所以有个目标才能入侵.不过不能因为一点小小的难度而放弃.那样就缺乏了挑战性...) q/ l, X: i& t1 \& y, b
( A, J; d3 r$ `* r' N
2,了解目标网站情况  D0 _7 W  _1 b9 A; v
+ @1 Z+ q& a6 h( {4 M
需要了解的有.* e) Z7 m/ g3 U% N$ j6 F

(1),是利用什么语言编写的网站,比如说常见的 html asp php...不常见的 jsp shtml..
(2),了解编写语言,接下来就需要了解,你要入侵的目标是个整站系统.还是别人自行开发的程序.如果是前者则可以去下载个源文件,过来研究源文件(默认后台,默认帐号密码,默认数据库__等等可利用的.).后者的话/..就是下一步了.) q8 a, ~! l8 V3 `' o/ s9 H

3,了解他的漏洞6 u6 R; \: @. S9 t6 I; r

如果是整站系统大家可以百度或者谷歌下,找找是否有最新漏洞.或者老漏洞.如果有不妨都试试....9 g6 D# P$ F6 i7 d+ u7 ^
   如果是别人自行开发的程序那就找不到源文件.也找不到已知漏洞了.所以就得自己用手工,或者工具.去尝试注入.暴路径.爆数据库.之类的..- H' C0 L% o3 ]- G7 k* w1 y4 A

4.拿shell..  r/ l. w7 c2 ]3 h" D

拿到管理员帐号密码之后进入后台...要拿到更高的权限必须得拿shell...拿shell的几种常见方法..  d$ K  w$ H  Q0 C& J4 v. U/ ?
1.备份拿shell(很简单.网上很多教程)" y6 K( F0 l$ {/ |: E; L3 ]
2.上传漏洞(利用抓包.再利用NC上传..)# `+ [# O: f9 J! }3 _) o& R" z
3.一句话(一句话木马经常用到)3 F9 ]" b0 E2 d+ O; k
   还有很多拿shell的方法.在这就不说这么多了..
* T9 t5 r/ [! x. X3 d  x
5.拿服务器/
' y1 L1 x) N% ]4 A: z* u* c
   几种常见的方法.) N* J+ I9 N" m  O) t
   serv-u (很多WEBSHELL都自带这个功能.)7 L) p$ m+ S% u. y1 S
   上传CMD(添加帐号.再加入到管理员组,,前提是wscript.shell √ 命令行执行组件 )1 p# r& w! s6 n9 ], }
   pcAnywhere.(远控软件,多用在服务器...)" K; t9 \4 E" {. A0 d0 v
   .......................... 拿服务器的方法还有很多,不一一列出....4 z$ c; \; N7 X- w# Z, i2 X

6.总结.
2 ?1 D4 @# |) o0 M8 ]3 d2 p; }
      哎,很久没说话了,废话了这么多.! k; q  M+ D- f: Y1 A" b+ Y8 `+ N
, M$ X* V* N, h, X$ N  x0 `
      很久没写东西了.最近为了我自己的博客.写了几篇了.

      希望大家多支持俺博客哈..

1 评分人数