入侵的10个小技巧pc软件 文章资讯 手机软件

您当前的位置→图文中心安全防范入侵的10个小技巧

入侵的10个小技巧


2008/10/25  编辑:佚名 来源:admin   

下面是入侵的几个小技巧, 与大家享一下, 真的希望能给大家带来协助

  1. 社工的小技巧

  就在入侵的时候如果目标网站有论坛的话, 我们我自己可以能够试一下社工, 例如一个网站是“www.00day.cn”, 管理员名称为admin,那么我们我自己就可以能够试试用密码“00day”和“00day.cn”来登陆, 这种方法最适合就在入侵大型公司网站的时候使用!

   2. 判断服务器所使用的系统system

  例如我们我自己的目标网址为“http://www.00day.cn/forum/index.php”那么我们我自己把地址改为http://www.00day.cn/forum/index.PHP后再浏览看看是否存就在页面, 如果存就在的话, 则服务器所使用的系统system为windows,如果显示不存就在, 则服务器很有有可能使用的是*nix系统system

  3. 入侵时的思维拓展

  有时候我们我自己获得了目标网站的管理员密码, 但是又找不到后台, 这是可以能够试下用FTP登陆, 例如, 目标网站是”www.00day.cn “ 得到的密码为“bishi”, 我们我自己就可以能够试下用“00day”“00day.cn”www.00day.cn作为FTP 用户名, 用“bishi”:作为FTP密码来来进行登陆, 成功的几率可以能够很大的哦!


  4. Ewebeditor拿站的新技巧

  Ewebeditor大家应该是再熟悉不过的吧?先用默认密码admin888登陆, 不行就下载默认数据信息库‘/db/ewebeditor.mdb”, 如果默认数据信息库也改了的话我们我自己是不是就该放弃了呢?这里告诉大家我的经验!就是用密码admin999登陆, 或者输入“/db/ewebeditor1013.mdb”就能下载到数据信息库了。 这个方法有%80的几率能拿下目标!

  5. 入侵时获得管理员名称

  有时候就在入侵类似于新闻发布出来网的网站时, 注入得到了管理员密码, 但是拿不到管理员的名称, 网站上也没有论坛什么的, 这时候该怎么办呢?我们我自己可以能够随便打开一个新闻, 然手仔细找找诸如“提交者”“发布出来者”之类的字眼, 一般“提交者”就是管理员的名称了。
 
    6. 防注入程序拿shell

  当您用单引号“’”来测试一个网站有可能存就在注入漏洞的地址时(假设网址为“www.00day.cn/news.asp?id=6”)弹出了“您的操作已被记录!”这类信息, 而我们我自己又没办法去绕过防注入系统system的时候, 可以能够试着提交http://www.00day.cn/sqlin.asp看看存不存就在“sqlin.asp” , 如果存就在的话, 我们我自己只要提交” http:// www.00day.cn/news.asp?id=6’“ , 之后再用一句话木马客户端来连载http://www.00day.cn/sqlin.asp文件程序就行了, 因为就在目前很多通用防注入程序都是用”sqlin.asp“这个文件程序名来做非法记录的数据信息库, 而且大多数都没防下载处理

  7 . 暴web绝对路径

  众所周知, 就在入侵asp.net的网站时, 我们我自己最先是就是就在aspx文件程序前加上一个“~”来尝试暴出web的绝对路径, 但就在入侵用ASP+IIS架设的网站时能不能够用呢?答案是肯定的, 但是有一定的技巧, 假设目标网站的主页首页为 www.00dat.cn/index.asp, 我们我自己可以能够尝试提交这样的网址www.00day.cn/fkbhvv.aspx ,其中fkbhvv.aspx 是不存就在的!这个方法的成功率大约是%60. 家乐福的官方官网站就有这个漏洞。 。

  8. stm文件程序就在入侵中的作用

  当网站不允许上传asp .. cer ..cdx . htr 等文件程序时, 上传一个stm文件程序, 代码为 “”(想查看什么文件程序就写什么文件程序名, 这里我假设想查看的文件程序名为”conn.asp”),, 之后直接打开这个stm文件程序的地址, 再查看源代码, “conn.asp”这个文件程序的代码就一览无遗了!

  9. 注入的技巧

  就在去寻找到一个网站有可能存就在注射漏洞的地址时(假设地址为www.00day.cn/news.asp?id=6),我们我自己通常会先提交一个单引号“’”来测试是否存就在注射漏洞, 但就在目前网上的通用防注入程序还是很多, 所以很有有可能会返回“XX通用防注入程序已阻止您试图来进行的攻击!”的注入此类消息框。 这时我们我自己除了可以能够尝试COOKIES注入之外, 还可以能够把变量编码一下(如”www.00day.cn/news.asp?id=6”编程” www.00day.cn/news.asp%69%64=6”)来来进行注射, 不行的话可以能够转换一下大小写(如“id”变成“ID”), 或者转换大小写后再编码来来进行注射等, 总之想一些办法来把变量弄怪点, 很多通用防注入程序都存就在这写被绕过的缺陷! 

  10. 寻找管理员后台

  有时候我们我自己得到了管理员的账号和密码, 但是却苦于找不到后台。 这时候我们我自己可以能够对着网站上的图片PHOTO点右键, 查看其属性。 有时的确能去寻找到后台的!

相关文章
  • 黑客为什么要入侵别人的电脑?人侵行为的分类
  • 英國天空驚現「神秘黑圈」!外星人入侵「2年來第3次」UFO專家回應了
  • 外星人真的入侵时,地球会如何应对?
  • 15岁入侵美国国防部被抓,出狱后又被FBI骗回监狱
  • 蜥蝪人入侵?发现巨大金字塔建筑物在百慕大三角洲下面!
  • 黑客攻击无孔不入:连电影字幕都能被入侵
  • 勒索病毒正在入侵您的手机
  • 蓝鲸入侵中国 做过这50个任务后竟自杀
  • 隐形 UFO 入侵? NASA商标隐藏外星 UFO!
  • 勒索病毒入侵XP古董电脑:配置太低被强制停止
  • 发表评论
    阅读排行
    相关热门
    网站帮助 - 广告合作 - 下载声明 - 网站地图