为了顺应当前形势和更好的发展,黑基网已于9月19日正式更名为【安基网】,域名更换为www.safebase.cn,请卸载旧的APP并安装新的APP,给您带来不便,敬请理解!谢谢

黑基Web安全攻防班
安基网 首页 IT技术 电脑技术 查看内容

入侵的一些小技巧

2009-8-26 10:49| 投稿: computer

摘要:         菜鸟在入侵网站的时候,最常用到的就是啊D检测注入点了,可以啊D上登陆www.g.cn(Google)上使用关键字"...
        菜鸟在入侵网站的时候,最常用到的就是啊D检测注入点了,可以啊D上登陆www.g.cn(Google)上使用关键字"site:目标站 inurl:asp?"来检测注入点,另外使用关键字"site:目标站 inurl:admin"、"site:目标站 inurl:manage"、"site:目标站 intext:管理登陆"等来检测网站的后台。推荐在手工检测的同时,使用如Jsky、Acunetix Web Vulnerability Scanner爬虫工具进行整站信息收集,会得到很多有用的信息,对后面的渗透有很大的帮助。          在对网站进行信息收集的时候,可以把网页拉到底部,看看用的是什么整站程序,有时查看网页源代码,从中也可以透露出一些网站程序的信息。得到网站使用的系统后,在百度搜索关于这个系统的漏洞,查找利用方法,如果网上没有关于这个系统的漏洞,那么可以去下载这套整站程序,本地搭建WEB环境进行黑白盒测试,对于菜鸟来说查找程序漏洞还是比较有难度的,其实不必担心,菜鸟朋友可以看下默认数据库的路径、默认后台地址和管理密码等信息,这些对我们渗透网站有很大帮助,说不定网站管理员的默认数据库没改路径,我们就可以下载下来查看管理密码了,o(∩_∩)o...       在查找网站的敏感路径的时候,可以使用迅雷的“使用迅雷下载全部链接”辅助查找。另外配合一些后台扫描工具,如wwwscan、多线程后台扫描工具。        当确定目标站拿不下来的时候,我们就要进行旁注了,使用 旁注王AK48 可以扫描同服务器上的网站,是否以字典目录为后台或者是是否有相同的文件,例如查找服务器里以/admin目录为后台的网站,筛选出来我们可以进行下一步攻击。其实在网站猎手、Domain 3.5中已经有此项功能。得到后台后,使用’or’=’or’或者一些弱口令,如admin admin;admin 123456;admin admin888;admin 网站域名;关于获得管理员的用户名,可以浏览网站里的公告或文章,从发布人中获得。        很多虚拟主机商都是提供FTP管理,这时,我们可以尝试一下FTP猜解,一般情况下网站FTP帐号最常使用的是类似nohack和nohack.cn这两种形式,到www.ip866.com网站查询出同服务器上的所有网站,全部复制下进行修改,然后作为用户字典放在X-Scan或H-scan中扫描FTP弱口令。

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部