现在入侵网站没以前那么简单了,在注入漏洞和上传漏洞刚出现的时候,用这两种方法入侵网站的成功率是最高的,有将近70%左右的网站都可以利用注入漏洞和上传漏洞轻松搞定。注入漏洞在国内流行差不多二年多了,只要是做网站维护和服务器管理的人,几乎都知道什么是注入漏洞,而且利用通用防注入脚本可以轻松堵住有注入点的网站,用法简单,网上到处都有下载。现在入侵网站不再是拿出一个注入工具,点几下鼠标就行了,所以我们入侵的思路也要改变一下,平常也要多积累各种程序的漏洞,入侵的时候一定会更加顺手、更加顺利。接下来,大家就和我一起进入今天的渗透过程吧!
寻找漏洞篇
荆网,荆门市的门户网站,首页上有二手供求、房产信息、图书影视、人才招聘、社区等20几个栏目。新闻系统全部是静态页面,注入是不可能的,后台好像也被修改了,用扫描后台的工具扫了一遍,没有结果,用Google搜索也没找出来,看来我们只能从其它的方面入手了。
一般的大型网站都有自己的流量统计程序,方便管理员和网站经营者查看网站的流量,为网站推广提供一定的依据。下面,我们来找找看荆网有没有自己的统计程序,用Google搜索site:cnjm.cn inurl:count,如图1所示。
荆网果然有自己的统计程序,还是IT学习者网站访问统计系统。前段时间,这套程序暴出了后台拿WebShell的漏洞,但前提是要拿到管理员密码。一般这种门户网站,管理员都会改密码的,先试下看看吧。这套程序的默认密码是ITlearner,在密码处输入ITlearner,返回密码错误,果然改密码了。习惯性地试了下网站的域名cnjm,竟然成功进去了,如图2所示。
1 2 下一页
安全中国首页 > 文章中心 > 渗透技术