入侵渗透入侵前言介绍

入侵渗透入侵前言介绍

ID:9001879

大小:54.50 KB

页数:10页

时间:2018-04-14

入侵渗透入侵前言介绍_第1页
入侵渗透入侵前言介绍_第2页
入侵渗透入侵前言介绍_第3页
入侵渗透入侵前言介绍_第4页
入侵渗透入侵前言介绍_第5页
资源描述:

《入侵渗透入侵前言介绍》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、黑手论坛www.heishou.org黑手论坛是集QQ技术与黑客技术与一身的论坛,努力为网络安全做出无私奉献!黑手承诺将对每位会员负责到底!教程提醒:您收看的是黑手论坛VIP教程!入侵渗透系列教程教程主题:入侵渗透第一课入侵前言介绍教程测试环境:WindowsXP讲师:Angusfz讲师QQ:59472299课程内容:1.什么是脚本  脚本是指全部网页编程语言的一个代名词    2.什么是脚本入侵    脚本入侵是指利用网页编程语言进行入侵的行为    3.为什么要学习脚本入侵    现在我问你一个问题:你觉得入侵一个网站,也可以说拿下一个服务器,比起入侵一台个人的电脑,比如XP系统

2、的,哪个更简单?    的困难性:    1>防火墙阻挡了系统入侵的路径    2>脚本漏洞的普遍存在性    3>网络安全人员的安全意识不强    4.脚本漏洞的分类,大概有一下几个方面    1>暴库漏洞  2>文件上传漏洞  3>sql注入  4>跨站脚本攻击(css/xss)  5>网页木马  6>固定漏洞攻击0day    5.大体来说下脚本入侵技术(或者漏洞)    1>暴库。爆出数据库,直接下载,因为数据库中包含有管理员的帐户和密码    2>SQL注入。网站程序变量过滤不严,导致我们可以进行数据库查询操作,可以查出管理员密码。    3>上传。网站上传的地方没设置好,

3、我们可以上传自己想上传的东西。    4>跨站。构造跨站语句,挂马或者盗取管理员COOKIES    5>漏洞。比如IIS写入漏洞及一些溢出漏洞    6>旁注。这台服务器拿不下,我们可以拿下和它一个虚拟主机的服务器,再利用跳转来入侵开始的目标    7>嗅探。嗅探的威力是强大的,我们想入侵一台服务器,可以先入侵它同网段的某台机器,然后通过嗅探得到我们想要的东西    8>googlehacking。利用搜素引擎来进行入侵    9>cookie欺骗。构造管理员的cookie通过验证    10>社会工程学。这个就不多说了。      6.学习脚本入侵技术的目的    1>利用已学的

4、知识发现web程序漏洞,并通知管理员修补  2>不要利用所学攻击国内的站点    7.下面几节我会分别来讲述各种脚本漏洞的简单原理和入侵的简单方法,都是很简单的。大约会有7.8节。目的是让大家大体上有个了解,不会觉得它很难。然后等这个阶段过后,我在具体给大家细化了讲,比如讲解SQL注入,,就要讲到sa权限下如何利用。dbowner权限下如何利用,列目录,差异备份等等,细化了来讲解。  现在的黑客很猖狂啊,大家都知道网站是怎么被黑客入侵的吗?      刚才简单做了个调查,大家网站被入侵的情况发生得比较多,而且也有部分站长知道黑客是怎么入侵的,现在也有不少PHP站点也受到黑客的入侵,网

5、上也有很多针对PHP渗透的各种工具。    那现在我们先来让大家知道黑客有哪些网站的入侵技术    sql注入漏洞的入侵    这种是ASP+ACCESS的网站入侵方式,通过注入点列出数据库里面管理员的帐号和密码信息,然后猜解出网站的后台地址,然后用帐号和密码登录进去找到文件上传的地方,把ASP木马上传上去,获得一个网站的WEBSHELL。    然后还有一种SQL注入漏洞的入侵方式,那就是ASP+MSSQL的网站入侵方式。MSSQL通常会给用户分配一个帐号,帐号的权限分为三种sa,dbowner,public,sa权限最高,public最低。    以前有很多数据库都给SA权限,特

6、别是一些韩国的网站,一扫一大把都是SA权限的,现在大部分网站都是给DBOWNER权限。    如果是SA权限的网站,注入点,那么可以直接用数据库的存储扩展XP_CMDSHELL来执行系统命令,建立一个系统帐号,然后通过3389登录进去。或者上传一个NC程序,然后用NC反连回来,获取一个远程的SHELL权限,当然利用SA注入点入侵的方法还有很多种,我这里就不一一讲解。    如果是DB_OWNER权限的话,那么就要用到差异化备份的技术来备份出一个WEBSHELL,这个前提是需要知道网站的绝对路径。然后还有一种方法就是利用DB_OWNER权限来列出数据库里面网站管理员的帐号和密码,然后登

7、录到网站后台里面,看看有没有可利用的地方,比如上传文件,备份数据库之类的功能,然后利用漏洞上传ASP木马上去。这种登录后台的技术跟前面ASP+ACCESS的入侵方式很类似。    所以大家要清楚的是,黑客技术是一套一套的。比如有A,B,C是入侵技术的三个部分,还有A1,B1,C1是另外一种入侵技术的三个部分,那么根据实际情况,有可能会搭配进行,如可以用A,B1,C,也可以用A1,B1,C,这样可以搭配出好几种入侵方式,所以黑客入侵是千变万化,大家要知道的是

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。