|
- 帖子
- 770
- 积分
- 1366
- 威望
- 1586
- 金钱
- 821
- 在线时间
- 94 小时
      
|
2009年12月19日 23:40 作者:流淚╮鮭鮭 来源:Chinallww.cn 3AST网络安全 / n$ X! u4 Z: Y$ m
! q6 t3 K' F r8 F0 ?) G最近很忙,互联网也很乱.可以说人人自危,3AST也因此转移了几次..
0 @8 O- N0 x5 L2 L 今天没事,就说说关于网站入侵.& {& R- j3 N. l+ l% h- B# W9 ?
7 y! B( f% u+ K6 g1 k* n1,确定目标4 p T! ?$ F ]4 V7 j# L I
0 I# E; W* l, R4 z2 v
没目标你入侵什么? 所以有个目标才能入侵.不过不能因为一点小小的难度而放弃.那样就缺乏了挑战性...! n, Q1 K/ c! Z/ S: o( y" }
3 ]3 Y; j4 w/ {% w+ H
2,了解目标网站情况% \4 j3 J. F, [, s
# l. V# {0 f8 j
需要了解的有.
7 ?. y" U0 H/ ^4 G$ ?; k1 b0 S% {" V/ R
(1),是利用什么语言编写的网站,比如说常见的 html asp php...不常见的 jsp shtml..% C c( L4 b8 U" \7 V2 ^7 q
(2),了解编写语言,接下来就需要了解,你要入侵的目标是个 整站系统.还是别人自行开发的程序.如果是前者则可以去下载个源文件,过来研究源文件(默认后台,默认帐号密码,默认数据库__等等可利用的.).后者的话/..就是下一步了.+ g/ T; N! H! X6 s2 m
& v. l; P2 A8 }3,了解他的漏洞
7 m# J2 f# I& P5 [+ h
$ I' z8 W0 |9 _- e# `4 p' q9 E! b 如果是整站系统大家可以 百度 或者 谷歌下,找找是否有最新漏洞.或者老漏洞.如果有不妨都试试....
4 o' M Z; S1 m- `9 ? 如果是别人自行开发的程序那就找不到源文件.也找不到已知漏洞了.所以就得自己用手工,或者工具.去尝试注入.暴路径.爆数据库.之类的..+ _/ m4 T0 Z. A8 D3 y/ U# e! y
8 I3 M1 C4 m# Z V4.拿shell.., `0 {# p2 @- |# e- _! x
) p3 H: _6 ]2 l$ {! L. o 拿到管理员帐号密码之后进入后台...要拿到更高的权限必须得拿shell...拿shell的几种常见方法.." B0 `3 o6 Q9 g( C7 a
1.备份拿shell(很简单.网上很多教程)) k2 r+ h F3 D ~8 L; `
2.上传漏洞(利用抓包.再利用NC上传..)
9 |9 g! m4 S8 V# R 3.一句话(一句话木马经常用到)
2 r" s# N/ L3 {6 X 还有很多拿shell的方法.在这就不说这么多了..! R( r" V$ }% ?
0 N" e! o4 m" F0 H5.拿服务器/, l, k' e g) R! E- W
0 P! X$ O5 X3 J# s; p7 q
几种常见的方法.3 o! ]. W: R5 w- E# [
serv-u (很多WEBSHELL都自带这个功能.)8 H, B4 i$ Z3 E& u F/ n4 v5 `
上传CMD(添加帐号.再加入到管理员组,,前提是wscript.shell √ 命令行执行组件 )# l9 m. t0 G: y4 F% n$ b2 R
pcAnywhere.(远控软件,多用在服务器...): P8 o+ v$ U2 j) H. }- {
.......................... 拿服务器的方法还有很多,不一一列出....
' u, Y. Y0 f2 ?; S0 ]" p4 s% T6 X5 f7 t8 y) U' m7 P8 Z- b. e2 S0 N4 V6 A
6.总结.
( x/ Z! ?; P! v" X' e$ l
7 |( X* V: H2 q0 p 哎,很久没说话了,废话了这么多.
+ g6 K4 L: R b9 q
+ X- C2 ?. j7 f5 |1 B) @ 很久没写东西了.最近为了我自己的博客.写了几篇了.
6 a( d( O! N7 S2 k1 V; ` j ~* r
! w j$ R! f) D# w 希望大家多支持俺博客哈.. |
-
1
评分人数
-
|
发表于 2009-12-19 23:47
| 
发表于 2009-12-20 17:01
| 
发表于 2009-12-20 23:43
| 
娃娃,找不到你QQ号了