Web渗透三字经
网络上曾流传一段Web渗透三字经,如下:
用搜索
找注入
没注入
就旁注
没旁注
用0day
没0day
扫目录
找后台
爆账户
传小马
放大马
拿权限
挂页面
放暗链
清数据
清日志
留后门
然后我对它做了简单的分析
用搜索 :使用搜索引擎去找目标站点的注入点或漏洞(百度高级搜索 Google hack )
找注入 :通过web漏洞扫描工具或者一些公开漏洞库去寻找相关注入点
就旁注 :通过bing英文去搜索目标站点的相关网站 借助其他网站进入主机内部
用0day : 找到漏洞点就可以去找漏洞的破解利用脚本 程序等
扫目录 :利用御剑或者其他扫描工具去扫描站点目录
找后台 :在站点目录中确定到后台登陆界面
爆账户 :对管理员账户进行暴力破解
传小马 :通过后台管理界面 找到插入一句话木马的地方 用中国菜刀连接
放大马 :通过中国菜刀上传webshell 大马
拿权限 :如果是普通用户权限 就需要工具或脚本提权root
挂页面 :在网站后台上传黑页等恶意网页
放暗链 :在目标站点的网页源码中插入恶意网址
清数据 : 把后台操作的相关改动回复
清日志 :清除服务器日志文件的登陆与操作记录
留后门 :利用webshell隐藏在某个目录下 方便以后快速登陆后台
介绍一下我自己吧,我是Fisher,互联网安全作者一枚,日常是分享有趣的安全技术与故事,当然也会记录学习之路的收获。对安全领域感兴趣,可以关注我的个人微信公众号:austfish。不想走丢的话,请关注【Fisher的安全日记】!(别忘了加星标哦)or 个人博客:www.austfish.cn
浙公网安备 33010602011771号