本文目录一览:
入侵网站有多少种方法?
目前常用的网站入侵方法有五种:上传漏洞、暴库、注入、旁注、COOKIE诈骗。
1、上传漏洞:利用上传漏洞可以直接得到Web shell,危害等级超级高,现在的入侵中上传漏洞也是常见的漏洞。
2、暴库:暴库就是提交字符得到数据库文件,得到了数据库文件我们就直接有了站点的前台或者后台的权限。
3.注入漏洞:这个漏洞是现在应用最广泛,杀伤力也很大的漏洞,可以说微软的官方网站也存在着注入漏洞;注入漏洞是因为字符过滤不严谨所造成的,可以得到管理员的账号密码等相关资料。
4、旁注:找到和这个站同一服务器的站点,然后在利用这个站点进行提权,嗅探等方法来入侵我们要入侵的站点。
5、COOKIE诈骗:COOKIE是上网时由网站所为你发送的值记录了你的一些资料,比如说:IP、姓名等。
网站旁注入侵
我觉得明小子很好,支持很多,a滴注射器也行,但我用不惯……
什么是网站旁注
顾名思义就是从旁注入,也就是利用主机上面的一个虚拟站点进行渗透,得到我们所要得到一个重要关节webshell之后,再利用主机的开放的程序以及一些非安全设置进行的跨站式入侵方法。
旁注的过程:
1.利用工具或者网站WHOIS你所要攻击的目标资料,得到关于网站的域名注册信息以及主机是否是虚拟主机的确定,因为这样子才可以从旁注入。
2.看服务器上面的所有网站程序,要理解熟悉每个程序的编写以及程序的功能(可以整天去源码站看源码,这样子你就会懂得如何去分别程序了)
3.利用现在所流行的所有漏洞来得到webshell
4.查看主机所开放的系统服务(这个办法是为了得到我们所要得到目标网站的路径)例如:Serv-u的用户配置文件(不是用来提升权限)IIS的用户配置文件(会泄漏大量用户路径的)杀毒软件的LOG(这个可是可遇不可求的)
5.在尽量不接触网站服务器的Admin权限下入侵(为了避免造成不必要的麻烦))
6.建议使用两只以上的ASP木马(ASP站长助手/砍客木马)
旁注得思路!
什么是旁注!比如你要入侵A网站,但是在A网站上找不到漏洞!你可以选择和A网站同一服务器下的B网站,C网站寻找漏洞。上传漏洞也好,SQL注入也好,拿到webshell后提升权限,在服务器上找到A网站的目录。。。
旁注需要什么条件,需要注意哪些问题,今天在黑基看到一篇好帖子,它很详细得提供了旁注技术上的思路!作者是HaK_BaN!非常值得一看!这篇文章把旁注技术上的思路写得很完整,但是由于篇幅上的原因(也有可能是作者比较懒),内容并不详细! 作为大家思路的补充和扩张非常得不错!!!!
旁注是一种思想,一种考虑到管理员的设置和程序的功能缺陷而产生的,不是一种单纯的路线入侵方法,知道没有?!不要整天看着文章去照着路子入侵,这是没有作用的,只是徒劳无功。