當(dāng)前位置:首頁 >  站長 >  網(wǎng)站運(yùn)營 >  正文

了解五招常用的網(wǎng)站入侵手法

 2007-06-25 18:41  來源: 網(wǎng)頁教學(xué)網(wǎng)   我來投稿 撤稿糾錯(cuò)

  域名預(yù)訂/競價(jià),好“米”不錯(cuò)過

    首先介紹下什么樣的站點(diǎn)可以入侵:必須是動態(tài)的網(wǎng)站 比如 asp php jsp 這種形式的站點(diǎn) 后綴為.htm的站點(diǎn)勸大家還是不要入侵了吧(入侵幾率幾乎為0)

    入侵介紹: 1、上傳漏洞  2、暴庫 3、注入 4、旁注 5、COOKIE詐騙

    1:上傳漏洞,這個(gè)漏洞在DVBBS6.0時(shí)代被黑客們利用的最為猖獗,利用上傳漏洞可以直接得到WEBSHELL,危害等級超級高,現(xiàn)在的入侵中上傳漏洞也是常見的漏洞。

    怎樣利用:在網(wǎng)站的地址欄中網(wǎng)址后加上/upfile.asp如果顯示 上傳格式不正確[重新上傳] 這樣的字樣8成就是有長傳漏洞了找個(gè)可以上傳的工具直接可以得到WEBSHELL

    工具介紹:上傳工具 老兵的上傳工具 DOMAIN3.5 這兩個(gè)軟件都可以達(dá)到上傳的目的 用NC也可以提交

    WEBSHELL是什么:WEBSHELL在上節(jié)課簡單的介紹了下,許多人都不理解,這里就詳細(xì)講下,其實(shí)WEBSHELL并不什么深奧的東西,是個(gè)WEB的權(quán)限,可以管理WEB,修改主頁內(nèi)容等權(quán)限,但是并沒有什么特別高的權(quán)限,(這個(gè)看管理員的設(shè)置了)一般修改別人主頁大多都需要這個(gè)權(quán)限,接觸過WEB木馬的朋友可能知道(比如老兵的站長助手就是WEB木馬 海陽2006也是 WEB木馬)我們上傳漏洞最終傳的就是這個(gè)東西,有時(shí)碰到權(quán)限設(shè)置不好的服務(wù)器可以通過WEBSHELL得到最高權(quán)限。

    2。暴庫:這個(gè)漏洞現(xiàn)在很少見了,但是還有許多站點(diǎn)有這個(gè)漏洞可以利用,暴庫就是提交字符得到數(shù)據(jù)庫文件,得到了數(shù)據(jù)庫文件我們就直接有了站點(diǎn)的前臺或者后臺的權(quán)限了。

    暴庫方法:比如一個(gè)站的地址為 我門就可以把com/dispbbs中間的/換成%5c 如果有漏洞直接得到數(shù)據(jù)庫的絕對路徑 用尋雷什么的下載下來就可以了 還有種方法就是利用默認(rèn)的數(shù)據(jù)庫路徑 后面加上 conn.asp 如果沒有修改默認(rèn)的數(shù)據(jù)庫路徑也可以得到數(shù)據(jù)庫的路徑(注意:這里的/也要換成%5c)

    為什么換成%5c:因?yàn)樵贏SCII碼里/等于%5c,有時(shí)碰到數(shù)據(jù)庫名字為/#abc.mdb的為什么下不了? 這里需要把#號換成%23就可以下載了,為什么我暴出的數(shù)據(jù)庫文件是以。ASP結(jié)尾的?我該怎么辦?這里可以在下載時(shí)把。ASP換成。MDB 這樣就可以下載了如果還下載不了可能作了防下載。

    3。注入漏洞:這個(gè)漏洞是現(xiàn)在應(yīng)用最廣泛,殺傷力也很大的漏洞,可以說微軟的官方網(wǎng)站也存在著注入漏洞。注入漏洞是因?yàn)樽址^濾不嚴(yán)禁所造成的,可以得到管理員的帳號密碼等相關(guān)資料。

    怎樣利用:我先介紹下怎樣找漏洞比如這個(gè)網(wǎng)址 后面是以ID=數(shù)字形式結(jié)尾的站我們可以手動在后面加上個(gè) and 1=1 看看 如果顯示正常頁面 再加上個(gè)and 1=2 來看看 如果返回正常頁面說明沒有漏洞 如果返回錯(cuò)誤頁面說明存在注入漏洞。如果加and 1=1 返回錯(cuò)誤頁面說明也沒有漏洞,知道了站點(diǎn)有沒有漏洞我門就可以利用了 可以手工來猜解也可以用工具現(xiàn)在工具比較多(NBSI NDSI 啊D DOMAIN等)都可以用來猜解帳號密碼,因?yàn)槭遣锁B接觸,我還是建議大家用工具,手工比較煩瑣。

    4。旁注:我們?nèi)肭帜痴緯r(shí)可能這個(gè)站堅(jiān)固的無懈可擊,我們可以找下和這個(gè)站同一服務(wù)器的站點(diǎn),然后在利用這個(gè)站點(diǎn)用提權(quán),嗅探等方法來入侵我們要入侵的站點(diǎn)。打個(gè)形象的比喻, 比如你和我一個(gè)樓 我家很安全,而你家呢 卻漏洞百出 現(xiàn)在有個(gè)賊想入侵我家 他對我家做了監(jiān)視(也就是掃描)發(fā)現(xiàn)沒有什么可以利用的東西 那么這個(gè)賊發(fā)現(xiàn)你家和我家一個(gè)樓 你家很容易就進(jìn)去了 他可以先進(jìn)入你家 然后通過你家得到整個(gè)樓的鑰匙(系統(tǒng)權(quán)限) 這樣就自然得到我的鑰匙了 就可以進(jìn)入我的家(網(wǎng)站)

    工具介紹:還是名小子的DOMIAN3.5不錯(cuò)的東西 ,可以檢測注入 可以旁注 還可以上傳!

    5.COOKIE詐騙:許多人不知道什么是COOKIE,COOKIE是你上網(wǎng)時(shí)由網(wǎng)站所為你發(fā)送的值記錄了你的一些資料,比如IP,姓名什么的。

    怎樣詐騙呢?如果我們現(xiàn)在已經(jīng)知道了XX站管理員的站號和MD5密碼了 但是破解 不出來密碼 (MD5是加密后的一個(gè)16位的密碼)我們就可以用COOKIE詐騙來實(shí)現(xiàn),把自己的ID修改成管理員的,MD5密碼也修改成他的,有工具可以修改COOKIE 這樣就答到了COOKIE詐騙的目的,系統(tǒng)以為你就是管理員了。

    今天的介紹就到這里了 比較基礎(chǔ),都是概念性的東西,所有的都是我的個(gè)人理解,如有不正確的地方希望大家指出(個(gè)人認(rèn)為就是 為什么換成%5c 這里有點(diǎn)問題)。

申請創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)文章

  • 如何預(yù)防網(wǎng)站入侵

    現(xiàn)在大家對于網(wǎng)絡(luò)安全越發(fā)重視,擁有網(wǎng)站的站長們更是應(yīng)該重視網(wǎng)絡(luò)安全,防范網(wǎng)絡(luò)入侵,那么今天就來說一說怎么預(yù)防網(wǎng)站入侵吧。

    標(biāo)簽:
    網(wǎng)站入侵
  • 解讀網(wǎng)站入侵方式以及如何處理網(wǎng)站安全問題

    對于大多數(shù)的站長來說,網(wǎng)站被入侵是經(jīng)常可以看到的話題,但如果發(fā)生在自己的身上就會產(chǎn)生強(qiáng)烈的憤慨之情,這就是旁觀者和參與者的區(qū)別吧。在網(wǎng)站運(yùn)行的頭一年里,并沒有遇到入侵的問題,但是在最近的一年里,遇到了3次,每次都讓我傷透了腦筋,反復(fù)的思考,到底是哪里

    標(biāo)簽:
    網(wǎng)站入侵
  • 從常見的網(wǎng)站入侵流程反思網(wǎng)站的安全配置

    所謂知彼知己方能百戰(zhàn)不殆,對于站長而言,要知道如何入侵網(wǎng)站,才會在網(wǎng)站安全上有更深的認(rèn)識,才不容易給別人可乘之機(jī);很多時(shí)候,很多網(wǎng)站入侵本身是可以避免的,只是因?yàn)檎鹃L疏忽大意,才會有這樣的損失。如果能夠很好地完成網(wǎng)站安全配置,那么你的網(wǎng)站在98%的情況

    標(biāo)簽:
    網(wǎng)站入侵

熱門排行

信息推薦