网站入侵技术综合总结.doc

　　网站入侵技术综合总结～教育资源库 　　一:技术总结 　　随着互联网络的飞速发展，各种各样的大小网站不断地涌现，在这些大小网站中，动态的网站以其实 　　用性、多样性占据了绝对的优势。 　　由于ASP系统在互联网上广泛的应用，针对ASP系统的脚本攻击最近闹得是红红火火。在这些攻击中， 　　攻击者多是利用注入、暴库、旁注、cookies欺骗等手段获取管理员的权限， 　　通过直接上传或后台备份等各种入侵手法 　　取得网站p;ID=2 　　我们将dispbbs中间的/换成%5c如果存在暴库漏洞 　　既可直接暴露出数据库的绝对路径使用工具迅雷等下载即可 　　还有利用默认的数据库路径后面加上conn.asp如果没有修改默认 　　的数据库路径也可以得到数据库的路径（注意：这里的/也要换成%5c） 　　那么暴库的目的就是为了下载数据库得到管理员账号后上传木马脚本 　　6.默认漏洞 　　同一个网站系统或许有成千上万的网站在使用这套系统 　　而每一套网站系统，当然有它最初默认的安装路径以及账号密码等 　　我们通过大批量的有哪些信誉好的足球投注网站使用这套网站系统几百万个网站 　　找到那些没有修改默认设置的网站，没有修改管理账号，没有修改后台登陆地址，没有修改数据库存 　　放地址的目标 　　进行入侵！ 　　--------------------------------------------------　 12下一页 友情提醒：，特别！ 　　看完上面的介绍　基于根本.所谓的入侵也就利用这些常见的微乎其微的小漏洞. 　　并没有什么惊天动地的　没有什么所谓黑客可以一下子没有任何基础原理和方法 　　去入侵某个网站或服务器 　　那么我们是怎么入侵的?　无非的懂的多。知道的多. 　　我们无非是比管理员更渴望知道.服务器.哪些地方不安全.哪些地方可以被我们所利用 　　我们无非是比管理员更关心必威体育精装版的系统漏洞 　　我们无非是比管理员更勤劳的寻找系统的漏洞 　　那么其实,只要我们通过学习实践操作掌握了这些基础的知识. 　　所谓的入侵其实也就很简单. 　　所以希望大家.学成以后.不要自以为是. 　　不过就是些小漏洞,无非也就是管理员的疏忽,这又能怎样? 　　其实我们懂的还太少.连电脑也是由美国的华德爱肯所发明 　　在我们看天书一般的英文代码时.美国人就像看小说一样能明白代码的意思 　　试问 　　这是天与地的差距吗? 　　或许,这完全是心灵上的差别. 　　-------------------------------------------------- 　　三:漏洞利用 　　入侵指定的目标，如何去入侵呢？ 　　方法非常简单，我们寻找以上的基本漏洞 　　只要存在这些漏洞，我们就发起攻击 　　为大家介绍一些这些漏洞的利用方法，也就是，找到这些漏洞，我们是为了干什么！ 　　1.上传漏洞 　　上传漏洞利用非常简单 　　就是从这个上传漏洞，直接上传我们的脚本木马，从而拿到SSQL数据库 　　首先，直接利用方法是，猜解管理员账号以及密码。 　　然后网站登陆后台，从网站的后台找到上传点。从上传点，上传脚本木马。继而控制目标网站。 　　那么MSSQL数据库。还可以猜解网站存放在服务器中的根目录，通过差异备份 　　备份出一句话，然后通过一句话木马客户端，上传脚本木马,从而控制目标网站。 　　3.COOKIE诈骗 　　在得到目标网站管理员MD5加密后的密码，我们无法短时间破解出MD5解密后的密码 　　怎么办呢？ 　　我们直接通过修改COOKIE相关信息 　　也就是把管理的账号，ID，MD5加密的密码。修改到相应的位置 　　这样再登陆，系统就认为我们就是管理员。 　　从而我们拥有了管理员的权限， 　　这个时候，我们就登陆后台。找到上传点。上传脚本木马。继而控制目标网站。 　　4.旁注 　　旁注，非常有意思。 　　简单的来说，网站的服务器，他是存放在特殊的地方，或者这么说。不是私人人经营的 　　是由企业代为管理。 　　那么企业当然不可能只管理你一个网站。 　　所以，一台虚拟机，可能有上百个网站，同时存放在这台虚拟机上。 　　那么，我们试想，是不是通过入侵这台虚拟机，就达到控制这一百个网站的目的呢？ 　　所以呀。就是这么简单。不管我们入侵这一百个网站中哪一个！ 　　只要我们达到入侵并控制了这台网站服务器的目的。 　　我们就达到了控制这台服务器一百个网站的目的 　　5.暴库 　　我们利用暴库这个漏洞是为了什么呢？ 　　顾名思义呀。暴库就是暴出目标的数据库地址 　　想到这里大家都会笑了吧 　　我懂了。暴了数据库地址 　　当然是下载他的数据库 　　然后通过数据库得到管理员账号 　　通过管理员账号，进入后台，接着找上传点，接着上传脚本木马，接