|
- 帖子
- 770
- 积分
- 1366
- 威望
- 1586
- 金钱
- 821
- 在线时间
- 94 小时
      
|
2009年12月19日 23:40 作者:流淚╮鮭鮭 来源:Chinallww.cn 3AST网络安全
) ?' u& X, f b; L. m' G5 F, o3 t5 C7 B4 M/ P% g$ }3 H5 O& l
最近很忙,互联网也很乱.可以说人人自危,3AST也因此转移了几次..
' E9 ]0 b! l$ v3 [/ j2 ?% j 今天没事,就说说关于网站入侵.
, f" V; Z+ g K9 @' Q) Y) q9 G* s8 f. p# t* H- m9 H! n& H5 Z
1,确定目标
4 x. I7 t8 N( P
5 V# Y/ W0 d5 c 没目标你入侵什么? 所以有个目标才能入侵.不过不能因为一点小小的难度而放弃.那样就缺乏了挑战性...' y4 C; A/ w, M! @% f
, t0 @0 x, }" E2,了解目标网站情况
' |2 a7 n8 k' W1 n' a9 K! B' B' }. J) f% e" P% Y* S9 }. }
需要了解的有.
/ [8 I" J! G" @% ^1 N7 ]1 D
z; V$ z6 X' h7 G0 A: h(1),是利用什么语言编写的网站,比如说常见的 html asp php...不常见的 jsp shtml..
: H" x* i6 d! X8 X7 n8 N2 |(2),了解编写语言,接下来就需要了解,你要入侵的目标是个 整站系统.还是别人自行开发的程序.如果是前者则可以去下载个源文件,过来研究源文件(默认后台,默认帐号密码,默认数据库__等等可利用的.).后者的话/..就是下一步了.5 X/ r+ ^! A/ F5 n. b
5 l) l7 ?0 ?. ^5 E4 K5 `' T
3,了解他的漏洞
& V- O a5 A7 h* b: B- M! b3 t- Q. `( v6 V. s
如果是整站系统大家可以 百度 或者 谷歌下,找找是否有最新漏洞.或者老漏洞.如果有不妨都试试...., B* v; d1 A: L7 h' y( g U4 Z
如果是别人自行开发的程序那就找不到源文件.也找不到已知漏洞了.所以就得自己用手工,或者工具.去尝试注入.暴路径.爆数据库.之类的..) Q' z$ M6 v$ ^
# ^$ M" O# _" h0 _! N4.拿shell..8 y( X* X- b3 }4 L
/ F& D; U$ e4 w4 G+ T 拿到管理员帐号密码之后进入后台...要拿到更高的权限必须得拿shell...拿shell的几种常见方法..
4 v: c5 C! q- s/ L5 | Q: Q; k% t8 [ 1.备份拿shell(很简单.网上很多教程)" o# N* X/ k; M) B9 ]9 @- H+ |
2.上传漏洞(利用抓包.再利用NC上传..)2 q% _% V0 E# M% q) K
3.一句话(一句话木马经常用到)
- b8 ?, i0 U& h4 O3 k# s" ^ 还有很多拿shell的方法.在这就不说这么多了.. ~3 c) h. R# q; i8 K1 i, r
; c: e4 U0 F) T. p, O
5.拿服务器/
6 C: N3 E8 }% b
' ^2 d+ ]9 ?# A9 b& ^ 几种常见的方法.
6 m! b& H: B' x- t& R serv-u (很多WEBSHELL都自带这个功能.)3 R/ L/ y, I) x
上传CMD(添加帐号.再加入到管理员组,,前提是wscript.shell √ 命令行执行组件 )
) B, r+ c% ]. g! C pcAnywhere.(远控软件,多用在服务器...); ~+ G- ~/ |) Q) s, O
.......................... 拿服务器的方法还有很多,不一一列出....8 e0 S& f7 a. t/ p3 k
^. w/ I& H# z; |" L1 o6.总结.6 }# `, `0 l& Q7 C
/ r- u2 k( ~; j4 m' F 哎,很久没说话了,废话了这么多." q: h+ j& c, e& y+ w' A5 a
. f- F& W: X7 {4 A/ {
很久没写东西了.最近为了我自己的博客.写了几篇了.5 R( S- ~/ [/ v4 v! \% \3 {% Z
5 o9 Z7 @* X' M. o, C 希望大家多支持俺博客哈.. |
-
1
评分人数
-
|
发表于 2009-12-19 23:47
| 
发表于 2012-5-16 00:17
| 
娃娃,找不到你QQ号了
发表于 2009-12-20 23:43
| 