[新手必看] 入侵网站之通用手法
本文主要是为菜鸟朋友系统的学习入侵网站的基本思路,有些刚入门的菜鸟朋友拿到8 v5 |/ h' F/ C8 }3 l* ~5 j& [$ q
一个网站后不知道如何下手,这里我给出入侵网站的整体思路,这个思路是目前入侵' ?& i/ ^9 [/ F d+ v p
网站的主流,也是目前通用的入侵网站思路。好了,下面看具体内容。
, E+ n* {& T4 o0 n: I, U 入侵网站之通用手法' h" b$ i% A5 y* D5 }. R! ~; ]/ E
3 V* ] S, H1 ~9 H
一.首先看看有没有上传漏洞。$ h+ G- G+ G# c" _0 R
用工具扫目标网站,看看是否有上传的漏洞----存在漏洞就上传个小马----然后就上: B# H9 }3 H6 R3 O. Q* F' P
传大马。这样就得到了整个网站的WEBSHELL。
1 Z' M* G& f6 |; n8 A5 [4 i8 E. |, D j! B \, \
二.没上传漏洞,就可以扫扫存不存在注入点。若存在,则:% m' _, y2 y) Z8 q g+ E
扫出管理员账号和密码----扫后台-----进入后台找上传文件的地方----把ASP木马改4 ~% d6 T3 [! c/ {$ z6 f
成图片格式上传,然后用备份数据库功能备份成ASP木马-----得到网站webshell。
: P O% P* X N; [6 y% {6 y; N! b r
三.若也不存在注入漏洞。则:7 e3 I* a6 [' G5 h. Z# N
1.看看是否存在默认数据库比如BBSXP默认为/bbs/database/bbsxp.mdb dvbbs默认为
3 l! N+ I5 B) [/bbs/database/dvbbs7.mdb等等,或查看与入侵目标网站相同网站的源代码,找到默7 s+ ^7 m( i, d. u) _; a1 \
认数据库下载地址-----找到管理员账号和密码-----由论坛登陆后台管理,查找上传
6 N! L* a# o+ m2 R/ C* g/ R e文件或图片的地方,把ASP木马改成图片形式上传。------利用备份数据库功能,备
) x. ]# B8 m% k; S份成ASP木马。--------得到网站webshell。. a0 M) ?8 z! Q6 p/ @) M
/ b7 H- {. S7 y U8 `* h+ t6 Y
2.利用爆库漏洞,下载整个数据库,得到数据库后的步骤就与上面一样了。: b/ ~4 j* c- x0 w+ y ~) {
5 C9 }# ]0 W5 ~# n& j" e
四,若注入没什么利用价值,也不存在以上的相关漏洞。不过只找到一个后台。则:; i- K7 |2 F9 q2 f2 V S
可以尝试以下几个看看能不能进入,) x8 n7 `, R) F7 Y% ?% i2 o( |* y
'or''=''or''or' asp'or'1 'or'='or' 'or''='
* h! f; O% X; a( S7 X$ s& b, A很多时候得到后台就可以通过这些进入了后台,进入后台后的步骤就同上。, y; B+ ~- Q& k+ t
0 k% A* e# u4 L3 [
# P+ w1 G7 `: s" q五.如果一个站点不存在以上的漏洞,找不到任何突破口,下面就要用到旁注了。看
) a9 f2 V! P- o0 |2 v A% i7 L& s看这个网站的服务器绑定了多少个域名,对每个域名进行以上一到四这四个过程的检
% v1 T! E- M2 I5 }测,若拿到其它域名的WEBSHELL-------接下来就是提升权限拿系统权限-----通过提: n/ a6 g" p4 P! U
升系统权进一点控制这个不存在漏洞的网站。
