个人主机入侵网络攻击的方法——菜鸟必备.docVIP

下载本文档

4
0
约1.2万字
约 9页
2016-09-15 发布于重庆
举报
版权申诉

个人主机入侵网络攻击的方法——菜鸟必备.doc

1、本文档共9页，可阅读全部内容。
2、有哪些信誉好的足球投注网站（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。
3、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。
5、该文档为VIP文档，如果想要下载，成为VIP会员后，下载免费。
6、成为VIP后，下载本文档将扣除1次下载权益。下载后，不支持退款、换文档。如有疑问请联系我们。
7、成为VIP后，您将拥有八大权益，权益包括：VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
8、VIP文档为合作方或网友上传，每下载1次，网站将根据用户上传文档的质量评分、类型等，对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档

个人主机入侵网络攻击的方法——菜鸟必备

个人主机入侵网络攻击的方法——菜鸟必备 1.【ASP+ACCESS入侵方式】 1.用啊D或明小子扫描检测是否有注入点。 2.扫描ACCESS数据库里的管理员的帐号和密码，但是密码一般都是用MD5加密过的，大家可以到其他 MD5网站里破解。 3.扫描网站的后台地址，然后用破解出来的帐号和密码登录后台，找到文件上传的地方，利用ASP上传漏洞上传ASP木马，但是有不少网站都限制了上传ASP文件的类型，一般来说ASP为后缀的文件都不允许上传。但是这种限制是可以被骇客突破的。比如：把ASP扩展名修改成asa，aaspsp，cer后进行上传ASP木马。获得WEBSHELL 如不能上传asa，aaspsp，cer文件格式，也可以利用备份功能，首先找到文件上传功能，上传一个ASP木马但是要注意：把ASP木马的扩展名改成JPG或GIF后缀的，然后找到后台的数据库备份把要备份的文件后缀改成.ASP。获得WEBSHELL 或用采取上传一个正常的JPG图片用抓包工具抓包得到图片的上传路径和COOKIE，然后利用桂林老兵或明小子进行上传的欺骗方式来上传ASP木马，如上传失败用UE修改数据包再用NC上传。获得WEBSHELL。还有一种方法就是现在很多网站的管理员都很懒，都没修改数据库默认路径和后台的默认路径。（尤其是国内很多的管理员都很懒！甚至连后台的用户名和密码都懒的修改！这样菜鸟们就可以利用数据库默认的路径下载到本地然后用“辅臣数据库浏览器”查看管理员用户名和密码，但是密码一般都是用MD5加密过的，大家可以到其他MD5网站里破解。然后找到后台的默认路径将破解出来的用户名和密码进行登陆，登陆后就用以上的方式获得WEBSHELL）如以上的都不行就用提交一句话木马的入侵方式这种入侵方式是对一些数据库地址被改成asp文件的网站来实施入侵。骇客通过利用一些论坛存在的安全漏洞提交一句话木马到数据库里，然后在一句话木马的客户端里输入这个网站的数据库地址并提交一个ASP木马，从而获得WEBSHELL。最典型的就是动网6.0版本论坛漏洞的利用入侵方式，7.0版本都存在安全漏洞，我就拿7.0版本来说吧。首先注册一个正常的用户，然后去发一个帖子，发帖子的时候在附件里上传一个正常的JPG图片，用抓包工具抓包得到图片的上传路径和COOKIE，然后利用桂林老兵或明小子进行上传的欺骗方式来上传ASP木马，如上传失败用UE修改数据包再用NC上传。获得WEBSHELL。 2.【ASP+MSSQL注入方式】 MSSQL通常会给用户分配一个帐号，帐号的权限分为三种SA，dbowner，public，SA权限最高，public最低。以前有很多数据库都给SA权限，特别是一些韩国的网站，一扫一大把都是SA权限的，现在大部分网站都是给DBOWNER权限。如是SA权限的网站有注入点，那么可以直接用数据库的存储扩展XP_CMDSHELL来执行系统命令，建立一个系统帐号，然后通过3389登录进去。或者上传一个NC，然后用NC反向连接，获取一个远程的SHELL权限。（当然利用SA注入点入侵的方法还有很多种，我在这里就不一一讲解。）如是DB_OWNER权限的话，那么就要用到差异备份的技术来备份出一个WEBSHELL，前提是要知道网站的绝对路径。或利用DB_OWNER权限列出数据库，然后下载到本地用“辅臣数据库浏览器”查看管理员用户名和密码，但是密码一般都是用MD5加密过的，大家可以到其他MD5网站里破解。然后找到后台地址将破解出来的用户名和密码进行登陆，登陆后就用以上的方式获得WEBSHELL。如以上都不成功那么可以试试一下的！ 3.【旁注方式】这种技术是通过IP绑定域名查询的功能查出服务器上有多少网站，然后通过一些薄弱的网站实施入侵，拿到权限之后转而控制服务器的其它网站（跨站）。 4.【利用百度或Google批量入侵方式】这种技术方式是用GOOGLE来有哪些信誉好的足球投注网站一些存在安全漏洞的网站，我简单列出GOOGLE的一些语法的使用方法： intext: 这个就是把网页中的正文内容中的某个字符做为有哪些信誉好的足球投注网站条件.例如在google里输入:intext:红盟.将返回所有在网页正文部分包含红盟的网页 .allintext:使用方法和intext类似. intitle: 和上面那个intext差不多，有哪些信誉好的足球投注网站网页标题中是否有我所要找的字符.例如有哪些信誉好的足球投注网站:intitle:红客.将返回所有网页标题中包含红客的网页.同理allintitle:也同intitle类似. cache: 有哪些信誉好的足球投注网站google里关于某些内容的缓存，有时候也许能找到一些好东西哦. define: 有哪些信誉好的足球投注网站某个词语的定义，有哪些信誉好的足球投注网站:define:hacker，将返回关于hacker的定义. filetype: 这个我要重点推荐一下，无论是撒网式攻击还是我