关于入侵网站我的一些看法
本人学艺不精,如有错误还请纠正本帖用到的工具有phpstudy+目标网站+kali工具全套+跑后台软件
一 .有些人可能会问了,我有必要注意安全吗?
你不关注,那么某些人可就高潮了
他们的数据可以随便跑,简单到什么地步嘞?
一套kali工具就能让你飘飘欲仙,哦不,是让你挥刀自宫(一不小心就给你网站玩没了,你的业务呵呵哒。。。)
这种情况大多数都是菜鸟的基操,高级点的很少会玩坏你的网站(主人请尽情吩咐妲己~)
他们之后获取你网站的权限,进而拿下你的服务器,再厉害的,通过这台服务器辐射渗透到你的内网
后果可想而知。。。。
你不信吗?等着,我给你简单说说:lol
谷歌,利用简单的关键词就可以搜索到一大批注入漏洞的网站,如果你的网站不幸被检索到那么……
对于网站信息收集,插播一下
kali,你值得拥有(感兴趣的可以去我们蚁景网安学习,有小姐姐哦)
nmap扫描开放端口啊
whatweb啊,扫描你的服务器类型,网站种类,语言啊(脑袋里闪过针对这种类型的工具)
作为小菜鸟的我也感到简单
我对着你的网站点点点,通过简单的手法找到貌似可以注入的点,然后sqlmap一顿乱搞,OK啊
你的账号密码到手了,啊呸是你的数据库,里面有好多信息啊……挖草居然连管理的个人信息都有
废话不多说我们开始上操作
(1)网站密码设置嗷
(2)网站架设成功
(3)信息收集端口收集(犹豫涉及到我爱辅助吧站长的安全这里不做演示)
我提一嘴,如果你敢搞这个网站,那我不会放过你的
我爱辅助吧就像我的家一样(dog)
(4)服务器信息,注入点查找
野蛮点击,看见id进行1=1/1=2测试(忘了对不对),不一致直接丢进kali垃圾桶(开玩笑),利用sqlmap读取数据库嗷
结果必须失败因为不存在注入,妈的,上工具!!!
(4)扔到sqlmap数据库跑起来,注入检测命令 获取数据库名称 获取用户数据库 获取数据库所有表
(查看字段)导出字段的值 将秘闻解密,就得到了管理密码
好家伙这真香啊~
再提一嘴,我不放图是因为怕有些太聪明额,懂的都懂
给你们上个图https://img2.imgtp.com/2024/03/13/LuLWlZ9v.jpg
好的自己领悟去
看到防火墙 IPS 漏洞扫描这些,看见的麻烦问下自己,自己有这些防护吗?
回答1:有。 OK你可以放心一点了,这些防护已经阻拦掉一大批走在安全道路上的小菜菜了
回答2:没有。 OK你家就是我的后花园,可能哪天你访问的时候就变成月抛网了
问:你会不会搞我?
我告诉你,不会我n年没干这种狗逼勾当
问:怎么增加安全性?
emm 花钱找防御比如 天融信,启明星辰,山石网科,深信服这类
写这篇文章就是想提醒兄弟姐妹们:上点心吧!
网络里面都应该部署安全设备,不要吝啬啊!
如果你的钱比企业数据都重要,那当我死了吧:@
6666666666
楼主太厉害了!楼主,I*老*虎*U!支持我爱辅助吧论坛 楼主发贴辛苦了,谢谢楼主分享!支持我爱辅助吧论坛 66666666666666
页:
[1]