网站入侵技术综合总结

核心提示： 很多网站是存放在同一个虚拟机上的，也许某一台虚拟机上有几百个网站.那么我们只需要入侵入侵其中第一个.从而控制全部的网站.就是这么简单!5.暴库一般而言，网站入侵技术综合总结(3)，我们要获取一个站点的shell，必须先获得对方的后台管理权限，当然有它最初默认的安装路径以及账号密码等我们通过

很多网站是存放在同一个虚拟机上的，也许某一台虚拟机上有几百个网站.那么我们只需要入侵

入侵其中第一个.从而控制全部的网站.就是这么简单!

5.暴库

一般而言，我们要获取一个站点的shell，必须先获得对方的后台管理权限，要获得对方的管理权限

当然先要得到对方的管理员用户以及密码！得到对方管理员用户各种密码的方法有很多.

通过下载数据库后继而破解MD5加密信息.从而获得管理员账号.

但是一个网站的数据库当然不会让你随意下载到.

那么我们怎么去找数据库地址呢?

最简单的就是暴库了.

通过服务器返回的错误信息提示暴出数据库地址的。

但是,这漏洞并不见,毕竟直接暴露出系统的数据库.这是多么危险的事情呢!

暴库方法:比如一个站的地址为

http://www.xxx.com/xxx.asp?ID=1&ID=2

我们将com/dispbbs中间的/换成%5c如果存在暴库漏洞

既可直接暴露出数据库的绝对路径使用工具迅雷等下载即可

还有利用默认的数据库路径http://www.xxx.com/后面加上conn.asp如果没有修改默认

的数据库路径也可以得到数据库的路径（注意：这里的/也要换成%5c）

那么暴库的目的就是为了下载数据库得到管理员账号后上传木马脚本

6.默认漏洞

同一个网站系统或许有成千上万的网站在使用这套系统

而每一套网站系统，当然有它最初默认的安装路径以及账号密码等

我们通过大批量的搜索使用这套网站系统几百万个网站

找到那些没有修改默认设置的网站，没有修改管理账号，没有修改后台登陆地址，没有修改数据库存

放地址的目标

进行入侵！

--------------------------------------------------