|
- 帖子
- 770
- 积分
- 1366
- 威望
- 1586
- 金钱
- 821
- 在线时间
- 94 小时
      
|
2009年12月19日 23:40 作者:流淚╮鮭鮭 来源:Chinallww.cn 3AST网络安全 * ~' e, [( p. \; Z) [' _
8 @2 m: Y: Y' K, _% d3 c3 Q% x, e
最近很忙,互联网也很乱.可以说人人自危,3AST也因此转移了几次..
+ u$ H; l3 N5 k* R7 Y+ A" [ 今天没事,就说说关于网站入侵.
0 }$ y v* t5 C5 C' K. W9 E. A! g: d# l6 k
1,确定目标
# R& z0 Q( c1 g9 D3 i% b$ c" z5 H \
a3 |5 c3 K# N# h* ^3 g2 D 没目标你入侵什么? 所以有个目标才能入侵.不过不能因为一点小小的难度而放弃.那样就缺乏了挑战性...& ~/ d1 R" I* p. r' t
0 d! [6 E2 x- d4 w4 V2,了解目标网站情况
: h7 F4 K' a: F7 U. [. v5 `: x" F! Q
需要了解的有.8 F- @, _# D# E3 H
6 h9 j7 v3 Q/ B) z0 Q/ C(1),是利用什么语言编写的网站,比如说常见的 html asp php...不常见的 jsp shtml..7 N6 [% H9 c$ B" d, k! w; r
(2),了解编写语言,接下来就需要了解,你要入侵的目标是个 整站系统.还是别人自行开发的程序.如果是前者则可以去下载个源文件,过来研究源文件(默认后台,默认帐号密码,默认数据库__等等可利用的.).后者的话/..就是下一步了.) ~4 d ~4 g; D ]
! K& L* G/ l; k, ~
3,了解他的漏洞
( z* f) ]1 j/ ]
; E% _. g; V# q9 t 如果是整站系统大家可以 百度 或者 谷歌下,找找是否有最新漏洞.或者老漏洞.如果有不妨都试试....
* W5 G7 R4 |( D) A# T' A 如果是别人自行开发的程序那就找不到源文件.也找不到已知漏洞了.所以就得自己用手工,或者工具.去尝试注入.暴路径.爆数据库.之类的..( |6 L, h& {9 t }* i
2 U, T5 o- @8 C) y6 s$ c7 ?4.拿shell..$ t8 d% b+ E A6 Y$ f
$ a Y9 I n1 F$ Z, p6 B
拿到管理员帐号密码之后进入后台...要拿到更高的权限必须得拿shell...拿shell的几种常见方法..
" U5 ?0 d; @" p' q! P) p4 @ 1.备份拿shell(很简单.网上很多教程)
/ q P8 ], c- }5 ^1 r3 C$ @. W2 x3 T 2.上传漏洞(利用抓包.再利用NC上传..)/ C8 a2 o& c6 O. E# J; t# ~
3.一句话(一句话木马经常用到)
8 P1 i* j& p4 ?9 c 还有很多拿shell的方法.在这就不说这么多了..
2 _0 ~6 X) @9 u# d* G! W. |9 i3 F6 M$ u) `' b6 {% r0 o8 _
5.拿服务器/
) J+ w% [9 s9 m; k
/ I5 o- u/ j, F5 |% W9 k 几种常见的方法.
7 m2 o# t- \$ ^& t6 o serv-u (很多WEBSHELL都自带这个功能.)
* S" \$ v1 G7 O7 s 上传CMD(添加帐号.再加入到管理员组,,前提是wscript.shell √ 命令行执行组件 )2 a4 x3 Y$ I5 N' I8 L% \* i9 a
pcAnywhere.(远控软件,多用在服务器...)0 h' F* O( e) L6 f+ |; d" S
.......................... 拿服务器的方法还有很多,不一一列出.... h& \. \( R9 | @1 Y6 V X
3 { M) d9 e; R) N! y$ \
6.总结.
% B" D! d3 L% l0 Z! M c+ K1 U% ?6 W! G6 E u
哎,很久没说话了,废话了这么多.
3 a7 t/ O" h, M, d: m: h# v! A/ e8 v, V3 ~5 r
很久没写东西了.最近为了我自己的博客.写了几篇了.. \. q' P+ \( J* p. Q
, N$ m' p; H b+ B
希望大家多支持俺博客哈.. |
-
1
评分人数
-
|
发表于 2009-12-19 23:47
| 
发表于 2009-12-20 17:01
| 
发表于 2009-12-20 23:43
| 
娃娃,找不到你QQ号了