3:批量网站的入侵探测。
指定网站入侵和旁注网站入侵的方式大致一样,方式分大约为以下:
1:万能密码,(如:‘or’=’or’)
2:上传漏洞
3:注入漏洞4:弱口令5:0DAY (0day在网络安全界通常是指没有补丁的漏洞利用程序.)
6:某些目录可利用的程序。
当你入侵指定网站的时候没有任何可利用的漏洞程序,你可以选择旁注(就是同在一个服务器上的网站)入侵来达到你的目的!最后通过拿到同服务器网站的webshell来进行服务器提权达到入侵指定网站的目标。
关于wenshell提权这个技术概念是非常之麻烦,提权方式是靠前辈提出的方法与自己的思维变换去实现的,目前网络上流传的提权方式多大40多种。常用的有:360提权,CMD提权,SQL提权,Serv-U提权,社会工程学等。
我也不知道怎么说一个网站的安全如何 不是只靠工具来完成的
那样我只能告诉你。 一个工具黑客。是个人都可以做的来的。
刚提到注入 猜到有admin的。 是啊D检测的。 那么他一定是ACC数据库了。
对于这种方法。 唯一的解决办法就是字典要强大。user username admin
adminuser administrator adminusers users pass password adminpass
adminpassword administratorspass adminpwd 等等。 手写的。 其实很多的
这些东西可以在网上找得到。 若你是专业入侵的话。 那么,搜集字典很重要
了。
你提到的后台弱口令 acc莫非就是'or'='or'了。 这种弱智的漏洞现在几乎不
复存在了。至于注入中转, 你要仔细看下你配置的错误了吗?
判断是否一个注入点你掌握了吗 过滤了某些字符知道怎么解决吗?
我个人感觉扫端口没什么大用处。 一般都是扫上传。注入。旁注。
真的不行的话就社工吧 不管是后台还是FTP.。 还不行的话。 你可以CAIN。。
可以arp。。(道德问题!)
拿到shell后,怎样判断此大马有无后门?
现在03的服务器利用工具太多了。 系统的pr.巴西。ms100468
软件的 SU 360 端口的SA ROOT
至于怎么样开终端。 怎么进去服务器。 怎么进一步的渗透。
你还是慢慢来吧、。。 急不得的 。
这些学完后。 我建议你去学脚本。php也好 .net也好。
日后从事这个方面的话, 一门语言和一种编程是必不可少的。
祝你成功!
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)