|
- 帖子
- 770
- 积分
- 1366
- 威望
- 1586
- 金钱
- 821
- 在线时间
- 94 小时
      
|
2009年12月19日 23:40 作者:流淚╮鮭鮭 来源:Chinallww.cn 3AST网络安全
" l9 n5 h9 H+ s6 v+ U2 t% S" D; d
% g c, z: O ] m# S8 U4 i最近很忙,互联网也很乱.可以说人人自危,3AST也因此转移了几次..
1 ]" @/ q/ O: @" k7 d' C0 K5 G& Q d, q 今天没事,就说说关于网站入侵.
; o' g; v0 V1 X. ^/ z
& x6 d/ B6 q+ O: W: Q& P1,确定目标1 `5 E( y2 X" h5 C( N
* {& V- o, b/ X6 q 没目标你入侵什么? 所以有个目标才能入侵.不过不能因为一点小小的难度而放弃.那样就缺乏了挑战性...+ H0 N5 O5 n6 n0 Z
% U( [9 Q a; G4 e3 Z- `2,了解目标网站情况
% ^5 X {* k5 O1 g
0 F6 h. Z( C# }需要了解的有.6 } E x4 }7 b
: X+ l7 z8 c2 ? {" d(1),是利用什么语言编写的网站,比如说常见的 html asp php...不常见的 jsp shtml..
( ], P Y( f7 a9 Z1 e" Y(2),了解编写语言,接下来就需要了解,你要入侵的目标是个 整站系统.还是别人自行开发的程序.如果是前者则可以去下载个源文件,过来研究源文件(默认后台,默认帐号密码,默认数据库__等等可利用的.).后者的话/..就是下一步了.
) F9 u5 Y) D7 K1 {8 u h
) s6 h3 Q# G, Z$ }. @3,了解他的漏洞! }5 y# {6 v. A2 i# s3 W
, t& M( r5 w+ X. \6 t- M- l 如果是整站系统大家可以 百度 或者 谷歌下,找找是否有最新漏洞.或者老漏洞.如果有不妨都试试....
/ l, d: ^( d- \: e 如果是别人自行开发的程序那就找不到源文件.也找不到已知漏洞了.所以就得自己用手工,或者工具.去尝试注入.暴路径.爆数据库.之类的..
; t8 n v; ~& [% l0 I& e9 V5 m: K& f+ r
4.拿shell..
! m5 R$ V; Y- m, G1 D: J
$ d- p. i, H* H1 ~1 q 拿到管理员帐号密码之后进入后台...要拿到更高的权限必须得拿shell...拿shell的几种常见方法..$ V7 G" a& {5 q
1.备份拿shell(很简单.网上很多教程)4 w* Z) Q2 F0 p" N6 d5 |
2.上传漏洞(利用抓包.再利用NC上传..)( `- c) b. m& ^" F) K
3.一句话(一句话木马经常用到)
, i/ U% L4 J. l0 b! \8 j1 i7 R* }) ? 还有很多拿shell的方法.在这就不说这么多了..
% g1 i! ?* v- h4 t( R9 h1 L% U# M3 s' j6 _& [+ _
5.拿服务器/% k6 f- ?0 h" q K
+ u/ A, ~& ~2 }9 g- ^ 几种常见的方法.
5 T$ F) Y* d, ^% } serv-u (很多WEBSHELL都自带这个功能.)
5 ?( {9 c$ R: }) r _ 上传CMD(添加帐号.再加入到管理员组,,前提是wscript.shell √ 命令行执行组件 )" C" i) ?" S9 n6 S* h/ z
pcAnywhere.(远控软件,多用在服务器...)
7 h( F+ m+ \9 Y+ n% [ .......................... 拿服务器的方法还有很多,不一一列出....
6 _# ]. ^& `! ^7 M ]. w9 R$ Z% i7 t/ Z( F& i O
6.总结. Y! q5 H# d1 G- O
0 B$ q7 o) x- k+ Z/ V+ i7 C
哎,很久没说话了,废话了这么多.
& J6 i: G. h; h- U3 C
% N2 o5 B1 V( d( g4 e1 V 很久没写东西了.最近为了我自己的博客.写了几篇了.1 F% q9 O" Q% z% O' N
- \9 f( O W1 K
希望大家多支持俺博客哈.. |
-
1
评分人数
-
|
发表于 2009-12-19 23:47
| 
发表于 2012-5-16 00:17
| 
娃娃,找不到你QQ号了
发表于 2009-12-20 23:43
| 