網(wǎng)站入侵一般流程

1、信息收集

1.1 Whois信息--注冊人、電話、郵箱、DNS、地址

1.2 Googlehack--敏感目錄、敏感文件、后臺地址

1.3 服務(wù)器IP--Nmap掃描、端口對應(yīng)的服務(wù)、C段

1.4 旁注--Bing查詢、腳本工具

1.5 如果遇到CDN--Cloudflare(繞過)、從子域入手(mail,postfix)、DNS傳送域漏洞

1.6 服務(wù)器、組件(指紋)--操作系統(tǒng)、web server(apache,nginx,iis)、腳本語言,數(shù)據(jù)庫類型

2、漏洞挖掘

2.1 探測Web應(yīng)用指紋--如博客類:Wordpress、Emlog、Typecho、Z-blog,社區(qū)類:Discuz、PHPwind、Dedecms,StartBBS、Mybb等等,PHP腳本類型:Dedecms、Discuz!、PHPCMS、PHPwind、齊博CMS、Joomla? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

2.2 XSS、CSRF、SQLinjection、權(quán)限繞過、任意文件讀取、文件包含...

2.3 上傳漏洞--截斷、修改、解析漏洞

2.4 有無驗證碼--進行暴力破解

3、漏洞利用

3.1 思考目的性--達到什么樣的效果

3.2 隱藏,破壞性--根據(jù)探測到的應(yīng)用指紋尋找對應(yīng)的exp攻擊載荷或者自己編寫

3.3 開始漏洞攻擊,獲取相應(yīng)權(quán)限,根據(jù)場景不同變化思路拿到webshell

4、權(quán)限提升

4.1 根據(jù)服務(wù)器類型選擇不同的攻擊載荷進行權(quán)限提升

4.2 無法進行權(quán)限提升,結(jié)合獲取的資料開始密碼猜解,回溯信息收集

5、植入后門

5.1 隱蔽性

5.2 定期查看并更新,保持周期性

6、日志清理

6.1 偽裝,隱蔽,避免激警他們通常選擇刪除指定日志

6.2 根據(jù)時間段,find相應(yīng)日志文件 太多太多。。

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務(wù)。
  • 人面猴
    序言:七十年代末,一起剝皮案震驚了整個濱河市,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌,老刑警劉巖,帶你破解...
    沈念sama閱讀 230,501評論 6 544
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場離奇詭異,居然都是意外死亡,警方通過查閱死者的電腦和手機,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 99,673評論 3 429
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人,你說我怎么就攤上這事?!?“怎么了?”我有些...
    開封第一講書人閱讀 178,610評論 0 383
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵,是天一觀的道長。 經(jīng)常有香客問我,道長,這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 63,939評論 1 318
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任,我火速辦了婚禮,結(jié)果婚禮上,老公的妹妹穿的比我還像新娘。我一直安慰自己,他們只是感情好,可當我...
    茶點故事閱讀 72,668評論 6 412
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布。 她就那樣靜靜地躺著,像睡著了一般。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上,一...
    開封第一講書人閱讀 56,004評論 1 329
  • 城市分裂傳說
    那天,我揣著相機與錄音,去河邊找鬼。 笑死,一個胖子當著我的面吹牛,可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播,決...
    沈念sama閱讀 44,001評論 3 449
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼,長吁一口氣:“原來是場噩夢啊……” “哼!你這毒婦竟也來了?” 一聲冷哼從身側(cè)響起,我...
    開封第一講書人閱讀 43,173評論 0 290
  • 萬榮殺人案實錄
    序言:老撾萬榮一對情侶失蹤,失蹤者是張志新(化名)和其女友劉穎,沒想到半個月后,有當?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 49,705評論 1 336
  • ?護林員之死
    正文 獨居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 41,426評論 3 359
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年,在試婚紗的時候發(fā)現(xiàn)自己被綠了。 大學時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點故事閱讀 43,656評論 1 374
  • 活死人
    序言:一個原本活蹦亂跳的男人離奇死亡,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情,我是刑警寧澤,帶...
    沈念sama閱讀 39,139評論 5 364
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布,位于F島的核電站,受9級特大地震影響,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點故事閱讀 44,833評論 3 350
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧,春花似錦、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 35,247評論 0 28
  • 一樁弒父案,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽。三九已至,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 36,580評論 1 295
  • 情欲美人皮
    我被黑心中介騙來泰國打工, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留,地道東北人。 一個月前我還...
    沈念sama閱讀 52,371評論 3 400
  • 代替公主和親
    正文 我出身青樓,卻偏偏與公主長得像,于是被迫代替她去往敵國和親。 傳聞我的和親對象是個殘疾皇子,可洞房花燭夜當晚...
    茶點故事閱讀 48,621評論 2 380

推薦閱讀更多精彩內(nèi)容

  • 作為公司的運維人員,特別是中大型企業(yè),網(wǎng)站被攻擊,網(wǎng)站打不開是一件再平常不過的事情了。今天我們就來說說黑客是如何入...
    一壺濁酒暖流年閱讀 1,719評論 0 4
  • Getting Started Burp Suite 是用于攻擊web 應(yīng)用程序的集成平臺。它包含了許多工具,并為...
    Eva_chenx閱讀 28,781評論 0 14
  • feisky云計算、虛擬化與Linux技術(shù)筆記posts - 1014, comments - 298, trac...
    不排版閱讀 3,891評論 0 5
  • 昨天大概十一點多投的稿今天十點多的時候突然收到了被收錄的消息。才想起來今天的還沒有寫欸。啊咧啊咧我這個人真的是.....
    圈圈又青青閱讀 175評論 0 0
  • 今天我讀了《苦兒流浪記》這本書。 好句好詞:每當我哭鼻子的時候,總摟著我,輕輕晃,親吻我的眼。晚上會給...
    燕麥雪里藏閱讀 83評論 0 0