程序员技能分享

比较详细入侵网站后台拿webSHELL

今天给大家做一个 入侵网站拿到后台然后通过上传漏洞拿网站的服务器
可能有老鸟已经发过了,我给大家做一个比较详细的演示

用到的工具:阿D工具包,黑客动画吧明小子旁注,WSockExpert抓包工具
这些工具呢 百度随便可以搜到,黑吧安全网应该是不会提供这些黑客工具了
我就不浪费时间咱们正式开始我们的黑客入侵吧

首先我们打开 啊D
点浏览网页 然后打上 www.baidu.com 然后点高级选项
这里有几个选项 大家看呵呵作 地区随便选 我们就选黑龙江省吧
然后再打关键字 这个关键字不是很重要 大家可以随便打
我就打一个 民俗 吧 然后点击搜索 大家看 我们下面找到了5个注入点
然后我们选择一个来扫描 点注入检测 我们来检测一下这个网站
太慢啦 我们换一个 好 检测完成 然后我们点检测表段 我们看到一个 admin
一般的后台帐号好密码都在这里面 我们再检测一下字段 检测完成
我们看到了三个字段 一般我们就选 name和password 这里检测出的内容可能就是后台的帐号和密码了
好 我们检测内容试一下 名字出来了 是admin 好的 密码也检测出来了sy!@90mn 就是它
然后我们再检测一下这个网站的后台 找不到后台我们怎么输入帐号和密码啊
点管理入口检测 一般的后台地址就是 admin/什么什么之类的 我们打开它
好 我们看到后台管理入口了 然后输入刚才检测到的帐号和密码
好的 我们已经成功入侵了一个网站找到了后台 我们一般的黑客想挂网马呢只找到网站的后台是不性的
要进入服务器拿到shell才可以 下面我就教给大家找后台的上传漏洞来拿服务器 就是上传个自己的后门
我们先找一下后台有没有上传点 这个网站可能不行 还有备份之类的方法我还没有研究 希望老鸟来指导一下 为了不浪费时间呢 我已经找到一个可以上传的后台给大家演示 大家自己再找找就可以了
http://www.myhack58.com/admin/login.asp 这就是我找到的网站后台 我们打开它看一下
我们进入了 看到这个后台有很多的功能 大家可以自己去试试 我在添加文章里找到了一个上传点
就是它 下面我们用到的工具是 抓包工具 大家可以很容易的在网上找到的 就是它 先点文件的小图标
然后找到IE浏览器 里面可以找到我的后台管理 大家看呵呵作
打开它然后我们上传文件 等待抓数据
上传失败 因为这个后台不允许上传exe asp等文件 但是我们抓的数据也成功了 就是他
下面我们找上传点和cookie /upfile.asp 这个很重要 它就是我们的上传后门的地方
Cookie: ASPSESSIONIDCQBDQRTB=DLLNGKOAPEPKOKBIDELPFDGA 这是cookie 这个数据也很重要 我们一会上传木马时可以用到
好的 最后的操作就是上传我们的ASP后门木马 这个木马大家可以到网上去找 我用的是海阳的后门木马
这里就不给大家演示怎样生成木马了 不懂的可以加我QQ
好 看我的演示 我们要用到的最后一个工具就是 明小子 其实刚才的步骤明小子也可以完成
但是我用啊D的习惯了 好的 看呵呵作
点综合上传 里面就是上传木马的界面了 大家选动力上传3.51
提交地址就写网站的地址加上刚才我们找到的重要的上传点www.myhack58.com/upfile.asp
然后点自选网页木马 最重要的就是 后面的两个选项 一定选第二个 最后再把cookie填上
好了 我们点上传试一下 木马上传成功了 webshell的地址就在这里UploadFiles/2007328181031211.asp
前面加上网站地址就可以了
www.myhack58.com/UploadFiles/2007328181031211.asp 我们打开看一下 看到没 这就是我的后门
剩下的要干什么大家自己想吧。。。。千万不要搞破坏哦~~我们进去看一下 服务器的所有东西都可以看见和操作了

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址