入侵网站有多少种方法?
目前常用的网站入侵方法有五种:上传漏洞、暴库、注入、旁注、COOKIE诈骗。
1、上传漏洞:利用上传漏洞可以直接得到Web shell,危害等级超级高,现在的入侵中上传漏洞也是常见的漏洞。
2、暴库:暴库就是提交字符得到数据库文件,得到了数据库文件我们就直接有了站点的前台或者后台的权限。
3.注入漏洞:这个漏洞是现在应用最广泛,杀伤力也很大的漏洞,可以说微软的官方网站也存在着注入漏洞;注入漏洞是因为字符过滤不严谨所造成的,可以得到管理员的账号密码等相关资料。
4、旁注:找到和这个站同一服务器的站点,然后在利用这个站点进行提权,嗅探等方法来入侵我们要入侵的站点。
5、COOKIE诈骗:COOKIE是上网时由网站所为你发送的值记录了你的一些资料,比如说:IP、姓名等。
求攻击一个网站,要其账号及密码,仅为了交作业。谢谢了呀。
看玩笑呢吧?哪个学校叫这东西?
算了,就当交作业。
攻击web最重要是要了解,你对这个网站掌握,知不知道这个网站都有多少隐藏页面。远程服务器的ID(估计你也不知道啦)
不过你们既然学到这么深了,应该对COOKIE和SESSION有所了解,不同的密码有不同COOKIE。要知道用户密码最重要的是先窃取到你所想要用户COOKIE。
那算是第一步吧。
用户的账号知道后,就是密码,现在普遍的MD5加密,32位输入不定项,输出定项。而所谓的破解密码都是用一台CPU足够强劲的电脑,以每秒几万次的去猜。我还没听说谁破解密码不是靠猜得。
最好是基于LINUX系统,下一个BOB的软件,得知SESSION后,里面就有加密的MD5码让计算机自己去算,其余的时间就只有等待,把MD5输入进去,让计算机去不停的算,要是幸运的话,很快,要是那密码是由:数字,大小写字母,特殊字母组成,而且没有规律。估计1个月是破解不了的。
其实所谓的破解密码,最基本的思维就是,搞到用户的MD5码,然后用计算机去猜这个密码!
把这个思路给你们老师吧,是对的!
至于攻击一个网站……不就是去不停数据库么?没有没有BUG的网站,也没有攻击了不了网站,只是看你用什么方法,看对方的DBA或者系统管理员什么水平了?
朋友,窃取密码和攻击网站是两个概念。除非你要窃取的是管理员的密码。
黑客入侵网站时,后台地址及用户名密码是怎么弄到的啊?
一:网站数据库有漏洞。进行爆破
二:网站程序出现漏洞 比如:.adp?id=234 这个地址可以被黑客进行注入入侵。破解数据库的ADMIN用户表。 在使用工具扫描到你的后台。 .登录网站进行提权
三:为了更好的防止黑客入侵.建议多看一点别人的做网站经验.
如果有什么需要.可以给我留言
如何入侵指定网站!
首先,观察指定网站。
入侵指定网站是需要条件的:
要先观察这个网站是动态还是静态的。
如果是静态的(.htm或html),一般是不会成功的。
如果要入侵的目标网站是动态的,就可以利用动态网站的漏洞进行入侵。
Quote:以下是入侵网站常用方法:
1.上传漏洞如果看到:选择你要上传的文件 [重新上传]或者出现“请登陆后使用”,80%就有漏洞了!
有时上传不一定会成功,这是因为Cookies不一样.我们就要用WSockExpert取得Cookies.再用DOMAIN上传.
2.注入漏洞字符过滤不严造成的
3.暴库:把二级目录中间的/换成%5c
4.’or’=’or’这是一个可以连接SQL的语名句.可以直接进入后台。我收集了一下。类似的还有:
’or’’=’ " or "a"="a ’) or (’a’=’a ") or ("a"="a or 1=1-- ’ or ’a’=’a
5.社会工程学。这个我们都知道吧。就是猜解。
6.写入ASP格式数据库。就是一句话木马〈%execute request("value")%〉 (数据库必需得是ASP或ASA的后缀)
比如:默认数据库,默认后台地址,默认管理员帐号密码等
8.默认数据库/webshell路径利用:这样的网站很多/利人别人的WEBSHELL.
/Databackup/dvbbs7.MDB
/bbs/Databackup/dvbbs7.MDB
/bbs/Data/dvbbs7.MDB
/data/dvbbs7.mdb
/bbs/diy.asp/diy.asp/bbs/cmd.asp
/bbs/cmd.exe
/bbs/s-u.exe
工具:网站猎手 挖掘鸡 明小子
手机怎么入侵学校网站(要详细)
有很多方法,比如弱口令,网址后加/admin.php之类的,密码大多是123456或者admin
账号admin
,也可以上传木马文件(百度一句话木马)移动菜刀链接后台,查找密码进去,或者挂黑页[安卓手机都可以办到的]如果有root就可以用些工具
网站,论坛账户密码如何破解?
网络有很多都是不安全的,多多少少会才在些漏洞,看见论坛有人在测试脚本漏洞,我也想测试测试,没有想到的是成功了,所以写了这个文章给大家,让大
家在处理脚本的时候多留心着点。.跨站脚本攻击虽然很少会对服务器造成一些什么比较大的影响,但对于一个站点来说,存在这种漏洞实在是太不值得!小则,弹
点什么东东出来;重则窃取用户的COOKIES资料。更甚者将会G掉浏览者的硬盘.一个站点被变成一个恶意网站,还有谁敢来?如果再加上该站的站长比较"
盲"一些,岂不乱套了?
首先应该让大家知道什么是跨站脚本(很多是copy的,当然有个人的理解,呵呵)
1、什么是跨站脚本(CSS/XSS)?
我
们所说跨站脚本是指在远程WEB页面的html代码中插入的具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被
解释执行,今天我就把带有能获取cookie信息的脚本嵌入了所发帖子的页面里,并且成功地绕过了论坛对特殊字符的限制,具体怎么做,大家等下可以看下面
的。而有时候跨站脚本被称为"XSS",这是因为"CSS"一般被称为分层样式表,搞网站设计的都知道CSS,因为它的功能很强大。或许这很容易让人困
惑,但是如果你听某人提到CSS或者XSS安全漏洞,通常指得是跨站脚本。
2、XSS和脚本注射的区别?
但
是并非任何可利用脚本插入实现攻击的漏洞都被称为XSS,因为还有另一种攻击方式:"Script
Injection",即脚本注入或者是讲脚本注射,他们之间是有区别的:他们的区别在以下两点:1).(Script
Injection)脚本插入攻击会把我们插入的脚本保存在被修改的远程WEB页面里,如:sql injection,XPath
injection.这个很常见,好象前几个月很多安全网站被黑就是因为脚本里存在注入漏洞,而被一些人利用的。2).跨站脚本是临时的,执行后就消失
了。这个就不同于我们现在讨论的XSS/CSS
了,今天讲的是在页面中插入脚本,这样谁来访问谁的浏览器就执行,如果不被删掉或者是修改编辑的话,就一直存在的。
那么什么类型的脚本可以被插入远程页面?
主流脚本包括以下几种:HTMLJavaScript (这个是我今天测试的VBScriptActiveXFlash
好
了,进入正题,具体如何检查这个漏洞,大家可以看绿盟Sn0wing翻译的文章《跨站脚本说明》。
3、基本理论首先,讲一下最简单的脚本攻击:td /td (TD
TR在网页中是代表框架的)等HTML字符的过滤问题。先找了个CGI的论坛,以原来ASP的眼光看CGI的站点,我们先注册用户,在用户一栏中填
写td
,提交用户注册后发现并没提出非法字符的提示,惨了,看来是有BUG了。注册完成后,点击资料也发现页面变形了.如在其他几个如国家,性别里填写
也会出现同样的问题,那页面就没法看了。于是换了一个站点,再次提交td
出现了非法字符提示(比如小榕的),看来站点是已经过滤的等HTML的脚本字符,那好,我们改用ASCII
码替换 如 #60;
#62;代替提交后再来看,又出现了上面页面变形的情况(小榕的当然没有了),看来非法过滤机制还不是很完善。
4、简单的脚本攻击如td
等HTML格式的代码一定要过滤好,.那我们下面就开始重点讲一下UBB过滤漏洞的问题。因为UBB在现在很多的论坛和免费留言本里都有使用的,
所以需要重点讲下。因为我自己原来的留言本也是这样的,被测试过发现也有这样的漏洞,现在就换了个安全点的。
5、UBB是论坛中用来替换HTML编辑的一种格式符号,如[ b][ /b]可以替换成HTML中的 b /
b,然而就是这一个替换问题,就成了跨站脚本攻击的最佳选择对象。先讲些我们常用的标签,比如img标签,[
img]的过滤,确实很麻烦而且是个老大难问题,关于这个标签的脚本攻击很流行,网上也有很多文章。但是很多站点还是存在这个漏洞,有些根本没有进行过
滤,特别是一些免费留言板的提供站点。下面我们主要讲一下高级问题: 由于[
img]的初级问题骚扰,很多站点就对一个敏感的字符开始过滤。比如字段ja,字段doc,已经字段wr等,或者是对字符进行过滤。比如
java,document等等。这样一来,似乎这样的攻击少了很多,使跨站攻击变的神秘并且深奥了,但是我们仍然可以利用ASCII码来代替。
怎样入侵一个网站,需要哪些工具和流程
这个常用的话就是利用脚本漏洞,工具的话一般有JSKY以及明小子等的,流程当然是找后台以及暴管理员用户和密码,如果是SA权限的话,直接入侵提权就可以