利立德网络创业联盟 >> 电脑大杂烩 >> 黑客入侵网站的步骤和常用方法

黑客入侵网站的步骤和常用方法

利立德网络创业联盟 转载 逍遥复仇 2007-11-22 19:49:46

一些google hack的语法主要有inurl intext site filetype 这些是最常用的

当在用工具猜测表名时,见到manage_user时,就直接扫后台用万能密码'or'='or'绕过去,这是个很老的漏洞。

大家都知道!锁定一个网站后!最常用的就是先找这个网站有没有注入漏洞!如何检测注入漏洞,我这里给你们介绍几种方法:
第一种:NBSI,啊D,明小子都可以,我给你们都演示下!看到了吧!
第二种:GOOGLE,百度检测!这个取决于该网站被搜索引擎收录多少页面有关!拿到一个asp页面后可以用啊D等工具检测一下
inurl:asp? site:qunjie.cn 这个命令的意思就是检查qunjie.cn这个网站有没有asp的页面!
当然也可以检测后台或其他的!后台命令:
inurl:admin site:qunjie.cn
inurl:login site:qunjie.cn
inurl:manager site:qunjie.cn
当然还有很多这样的命令,灵活运用!
用啊D等工具检测这个连接后看是什么样的数据库,然后在做下一步的入侵工作!

通常MSSQL的数据库就是找目录,然后差异备份写一句话木马!

ACCESS的数据库的数据库就是猜表名、字段、内容,然后找后台进去!今天给大家讲的是这种数据库拿站的方法!
(ACCESS的数据库,像这种数据库就是猜表名,找到有admin,user类的表段,然后在猜字段、内容,最后出来的帐号、密码很有可能就是该网站 管理员的密码!看我的!有的密码是MD5加密了的,需要解密,可以拿到网上去解密!当然有的MDB5的解不出来!也可以用其它的解密方法!也有手工检测表名的方法!)
有了管理员密码,就是找后台,这下子我们又要用到工具了!当工具检测不出来的时候也可以用google,baidu!
拿到了后台,登录看看,通常用到的就是数据库备份和抓包上传ASP马!

当一个网站实在找不到数据库、后台、注入点的时候就可以旁注跨站来对单个站点来循环以上的某中方法来入侵,得到SHELL后然后来提权来得 到你想要站点的权限!

特别补充一下,不是所有的站都能黑成功,虽然一般的站点都有漏洞,但是就看你找不找的到那个洞,需要的是耐心+耐心!

责任编辑: 阿飞 参与评论
利立德网络创业联盟 2007版权所有 让我们共同创业! greatafei@126.com qq:279669626 豫ICP备05021003号
Powered By: KingCMS 3.0 Beta