大家好,我是sleep,今天要教新手们来旁注入侵网站,所用到的思路就是:想入侵一个目标站,但是这个
目标站实在太强或者没地方下手的时候,我们会想到,一台服务器中难免会有安全做得不好的网站,通过其
他途径进入服务器后再想办法拿目标站.那我们的其他途径就是,旁注.
好了,今天我做实验的目标站就是,一个纯htm的站,这样的话,实在没办法下手,所以,我就选用从其他站
入手,好了,现在开始讲方法,老鸟就过吧,用到的工具同样是"明小子".
我们先检测这台服务器有多少站,再一一着手.输入域名,转换成IP再查询,稍等,很快出来.嘿嘿,站还不
少.好了,我们来批量检测.检测后台就可以,注入的话太复杂,对新手来说吧,所以这里不能完全叫做旁注
了,但是一样能达到目的.看操作,好了,开始检测了,稍等会.太多站,出来了几个,我们先打开几个试试.总
会有个把站有弱口令的.用admin和admin888来试.这个不是后台,不管他,多打开几个,一次性.多试几个,
总会有的,还有,大家看到的后台很多都一样的,这是因为这台服务器的管理员做网站的时候喜欢用同一个
网站程序,所以差不多很多类似的.密码admin888不正确就用admin试,不行就换,呵呵,出来了,好了,我们
拿webshell的方法就是数据库备份吧,用一句话,先写一句话,很多站的后台都可以的,大家可以去试,没分
类,不给发布,呵呵.加分类继续,不给弹窗.我换IE,随便传张图,可以不写太多,只要写进去就行了,好了,
写进去了,我没来备份数据库,这里要注意的是,备份数据库要些成asp结尾的后缀,以为这样大马才能访问
啊,备份数据库完成,记录下地址,可以访问,证明成功了,我们用海阳ASP木马来连,连接上了,只是有点不
干净,等下我们再传其他的马,先传个干净的马.移下来,杂乱数据太多,我们上传个其他马,保存为,找网站
根目录,上传成功!好了,用这个马吧,其他的关掉,好了,这个站的webshell拿到了,现在我们来找目标站的
目录,哇,站不少啊.找到了,嘿嘿,然后在数据库,到后台备份马儿再上传吧,f1cc46386407e63f.MD5的密码
拿到www.xmd5.org跑一下吧,好简单,进后台,密码就是刚刚跑出来的密码,接下来不用演示了吧,原来的方
法拿webshell就有权限改首页拉,好了,基本上就到这里,但是,告诉大家一下,这台服务器不要再来搞了.