WEB站点入侵常规方法 |
您所在的位置:网站首页 › 简述暴力破解漏洞的方法 › WEB站点入侵常规方法 |
web入侵工作流程:
收集情报,远程攻击,远程登录,获取WEBSHELL,取得普通用户的权限,取得超级用户的权限,留下后门,清除日志。主要内容包括目标分析,文档获取,破解密码,日志清除等技术。 1:0day. 2:已知漏洞 包括已知WEB程序漏洞,服务软件漏洞,操作系统漏洞,EXP nday. 3:WEB程序上传漏洞 4:注入漏洞 对存在漏洞的程序,用户可以提交一段数据库查询代码,根据程序返回的结果,获得非正常用户能得到的数据,如管理员ID,密码,帐户信息.甚至控制数据库,通过数据库入侵系统.这个就是sql注入式攻击(SQLinjection)。 5:旁侵(旁注) 我们入侵某站时可能这个站坚固的无懈可击,我们可以找下和这个站同一服务器的站点,然后在利用这个站点用提权,嗅探等方法来入侵我们要入侵的站 点。打个形象的比喻, 比如你和我一个楼 我家很安全,而你家呢 却漏洞百出 现在有个贼想入侵我家 他对我家做了监视(也就是扫描)发现没有什么可以利用的东西 那么这个贼发现你家和我家一个楼 你家很容易就进去了 他可以先进入你家 然后通过你家得到整个楼的钥匙(系统权限) 这样就自然得到我的钥匙了 就可以进入我的家(网站) 6: COOKIE诈骗 COOKIE是你上网时由网站所为你发送的值记录了你的一些资料,比如IP,姓名什么的。 怎样诈骗呢?如果我们现在已经知道了XX站管理员的站号和MD5密码了,但是破解不出来密码 (MD5是加密后的一个16位的密码)。我们就可以用COOKIE诈骗来实现,把自己的ID修改成管理员的,MD5密码也修改成他的,有工具可以修改 COOKIE 这样就答到了COOKIE诈骗的目的,系统以为你就是管理员了。 7:嗅探(sniffer,arp) 如果目标服务器太强悍,则可能通过前面几个方法入侵本C段下的机器,再通过这台机器嗅探目标服务器敏感信息,但这两台机器必须在同一个域下,如果是内网还可以通过DNS欺骗,主动,被动会话劫持等攻击目标主机. 8:社会工程学(Social Engineering) 一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、 社会工程学通常以交谈、欺骗、假冒或口语等方式,从合法用户中套取用户系统的秘密,例如:用户名单、用户密码及网络结构。 以后有陌生MM主动跟你套近呼就要小心了要么就是你长得特别帅,要么就是对你图谋不轨. 网络安全学习资源分享:零基础入门 对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。 CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享 (qq.com) 同时每个成长路线对应的板块都有配套的视频提供: CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享 (qq.com) 因篇幅有限,仅展示部分资料,需要点击上方链接即可获取 |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |