|
- 帖子
- 770
- 积分
- 1366
- 威望
- 1586
- 金钱
- 821
- 在线时间
- 94 小时
      
|
2009年12月19日 23:40 作者:流淚╮鮭鮭 来源:Chinallww.cn 3AST网络安全
2 f7 F |$ C5 f; [
- A/ D! s) N1 C% [ C最近很忙,互联网也很乱.可以说人人自危,3AST也因此转移了几次..
% }8 W& X* f4 t4 N, d; s5 ]+ r 今天没事,就说说关于网站入侵.
, ]2 F/ d( j" s
/ J& G, r2 |9 e2 y$ s$ q1,确定目标4 S! \& O8 E- k) n s* A& u/ p# u) N
& D$ q$ e# Q+ L8 ]
没目标你入侵什么? 所以有个目标才能入侵.不过不能因为一点小小的难度而放弃.那样就缺乏了挑战性...
9 m# q, i; p; e( A4 T! D. x) W. |6 ^3 S6 B {
2,了解目标网站情况+ A5 D T2 a& D% m: r% o
4 E2 O! r; Z/ D1 J2 y需要了解的有.* q7 G$ T7 {. y0 P! k: u* b
! O- N9 Q" [3 k3 m- u5 }
(1),是利用什么语言编写的网站,比如说常见的 html asp php...不常见的 jsp shtml..
- ^, P! f; I( f$ B(2),了解编写语言,接下来就需要了解,你要入侵的目标是个 整站系统.还是别人自行开发的程序.如果是前者则可以去下载个源文件,过来研究源文件(默认后台,默认帐号密码,默认数据库__等等可利用的.).后者的话/..就是下一步了.
& E8 U( o% {- O& x& z5 l
/ g9 J' B) V- {' T+ S X# _3,了解他的漏洞 J" U% W$ Z+ G/ [
, r0 a& ~- p, k( N" |; {' u 如果是整站系统大家可以 百度 或者 谷歌下,找找是否有最新漏洞.或者老漏洞.如果有不妨都试试....
- _4 D( e" u; Z6 R6 L 如果是别人自行开发的程序那就找不到源文件.也找不到已知漏洞了.所以就得自己用手工,或者工具.去尝试注入.暴路径.爆数据库.之类的..0 o: A Q) r! d5 I/ k& l
+ z2 t! I# b9 O* `# |, }6 G
4.拿shell..
! D5 z" J' m! D8 I8 B6 w1 h b: T: w) [: Y
拿到管理员帐号密码之后进入后台...要拿到更高的权限必须得拿shell...拿shell的几种常见方法..
/ ?; [. d% d9 `6 \) G7 l$ x! J q 1.备份拿shell(很简单.网上很多教程)8 e. }6 Z) @. Y) P' y
2.上传漏洞(利用抓包.再利用NC上传..)
2 ]/ w' ~' z b8 ^, g 3.一句话(一句话木马经常用到)1 u8 V; r3 [1 d+ e; w+ S
还有很多拿shell的方法.在这就不说这么多了..
4 ?. V- }0 V6 L! p- N( J' g
/ x% N6 f; k, I& \5.拿服务器/# v/ Q! u- k2 w# _( C- u
! U; W$ W( j$ Z9 a6 s 几种常见的方法.
+ n; q1 `# R, T( D6 h# B serv-u (很多WEBSHELL都自带这个功能.)& v; `( h" c; E, V) n4 E' U* i
上传CMD(添加帐号.再加入到管理员组,,前提是wscript.shell √ 命令行执行组件 )9 t/ J& g6 h$ U- V) F% Q: J5 H
pcAnywhere.(远控软件,多用在服务器...)
2 y9 I; l W0 w' u- T K2 X .......................... 拿服务器的方法还有很多,不一一列出....
: z2 i: x9 @5 _. h2 e8 W3 Y2 K, e; B- x7 p
6.总结. ?9 _ Y6 {" d1 [3 A' n$ s# ] J
/ R2 i' R4 V! u5 j
哎,很久没说话了,废话了这么多.* g6 p. }( S$ a2 Q, K: |
5 C8 X+ x& s" X7 F
很久没写东西了.最近为了我自己的博客.写了几篇了.5 u, r _- t+ B8 L2 n
2 F/ Q! [8 S/ L
希望大家多支持俺博客哈.. |
-
1
评分人数
-
|
发表于 2009-12-19 23:47
| 
发表于 2009-12-20 17:01
| 
发表于 2009-12-20 23:43
| 
娃娃,找不到你QQ号了