网站入侵过程（转）

dgt2003

我喜欢把我所学到的东西记录下来，因为这样不仅联系了讲解的能力还会吧所学到的东西加以巩固。我在绿色兵团学习了有一个礼拜左右，在昨天我入侵了一个网站，方法很简单没有一点的技术含量，\r\n用到的工具阿D  ’WEBSHELL 网页木马 （注：老鸟飞过）\r\n       首先我们打开www.google.cn 这个网站点击高级搜索 在网页包含内容里面输入 site：.com或者.cn 在者.com.cn这个就是网站的后缀，inurl：asp?id=  两者之间必须用空格隔开  例如：site：.com inurl:asp?id=   选择100项内容  点击搜索 把搜索的内容放到阿D注入扫描里面进行扫描，这个时间会出现很多有注入点的网站我们在扫描出有注入点的网址上面右击选择注入点扫描这一项，然后去爆它的表，会爆出管理员的帐户名、密码、ID信息，有的会出现加密的密码，我们用一个网站 www.cmd5.com 这个网站进行破解，也可以用一个简单的弱口令来试一下， 弱口令：用户名：‘or’=‘or’ 密码：‘or’=‘or’   如果爆出来之后我们在进行管理员地址猜解，进行查找管理员地址，得到以上的信息之后我们就成功了一半了，管理员的地址和用户名密码得到之后进行网站的后台登陆，登陆成功后我们把我们的网页木马传上去，上传的时间我们会遇到一些问题，我们的马是ASP、PHP的格式但是有好多网站不能长传ASP、PHP的格式，我们可以利用数据库备份进行传马，把我们的ASP、PHP的马改成jpg、gif、png、bmp等图片格式然后利用数据库备份把格式改过来，我们就可以利用我们的马进行提权、挂马等炒作，到这个地方我们就算是完成了一次完整的网站入侵。\r\n       因为本人也是菜鸟一个写的可能不是很详细。希望谅解，也可以加本人MSN：linux_2002@hotmail.com   QQ   124750578  进行交流