针对Web服务器的八种攻击方式
发布时间:2008-11-22 11:28:00
标签:
1、SQL注入漏洞的入侵
这种是ASP+ACCESS的网站入侵方式,通过注入点列出数据库里面管理员的帐号和密码信息,然后猜解出网站的后台地址,然后用帐号和密码登录进去找到文件上传的地方,把ASP木马上传上去,获得一个网站的WEBSHELL。
2、ASP上传漏洞的利用
这种技术方式是利用一些网站的ASP上传功能来上传ASP木马的一种入侵方式,不少网站都限制了上传文件的类型,一般来说ASP为后缀的文件都不允许上传,但是这种限制是可以被黑客突破的,黑客可以采取COOKIE欺骗的方式来上传ASP木马,获得网站的WEBSHELL权限。
3、后台数据库备份方式获得WEBSHELL
这个主要是利用网站后台对ACCESS数据库进行数据库备份和恢复的功能,备份数据库路径等变量没有过滤导致可以把任何文件的后缀改成ASP,那么利用网站上传的功能上传一个文件名改成JPG或者GIF后缀的ASP木马,然后用这个恢复库备份和恢复的功能把这个木马恢复成ASP文件,从而达到能够获取网站WEBSHELL控制权限的目的。
4、 网站旁注入侵
这种技术是通过IP绑定域名查询的功能查出服务器上有多少网站,然后通过一些薄弱的网站实施入侵,拿到权限之后转而控制服务器的其它网站。
5、sa注入点利用的入侵技术
这种是ASP+MSSQL网站的入侵方式,找到有SA权限的SQL注入点,然后用SQL数据库的XP_CMDSHELL的存储扩展来运行系统命令建立系统级别的帐号,然后通过3389登录进去,或者在一台肉鸡上用NC开设一个监听端口,然后用VBS一句话木马下载一个NC到服务器里面,接着运行NC的反向连接命令,让服务器反向连接到远程肉鸡上,这样远程肉鸡就有了一个远程的系统管理员级别的控制权限。
0
投稿
猜你喜欢
- AIR(全名Adobe Integrated Runtime,前身Apollo)的来意 这几年企业应用系统慢慢己从窗口桌面转移到网页平台上,
- 如果你正在考虑如何通过搜索引擎获得较高的流量,那么关键词一定是对你的工作非常有益的投资。无论你是想要自己做关键词的确定工作,还是雇一个专业人
- 一、前言随着email在企业里广泛使用,它已经成为传播病毒的最主要的手段,保护企业用户免受可能带病毒的邮件附件的感染,尤其是可执行文件的邮件
- ZAC这2天关注的SEO话题是关键词布局,对于这个话题,KYW感受颇多,来说说我最不喜欢的关键词呈现方式,我想搜索引擎也不会喜欢的。第一种,
- 我曾经写过一篇文章叫“不要在国内注册域名”,讨论不要使用国内的域名注册商进行域名注册,甚至不要用使用国内网站查询域名,之后我发现有很多人留言
- 随着网站的日益增多,统计系统的重要性已经凸现出来,本文选择了站长常用的或是很有特色的几个网站统计系统,并进行测试和分析,希望能给站长一些参考
- IIS 7.0的十大改进: 1. 更简便的命令行配置功能 2. 更强的兼容性 3. 抛弃MetaBase 4. 集中管理 5. 委任配置 6
- 1、御载以前的版本yum remove docker docker-client docker-client-latest docker-c
- 07年5月份,开始接触站长的吧,当时是大四下学期,没有课只有个毕业设计,加上cn一元注册的刺激下,就开始做网站。刚开始什么也不懂,也不会,只
- 今天来介绍Godaddy如何进行OUTLOOK设置,首先设立你的电子邮件帐号。在微软outlook ,选择工具电子邮件帐户。关于电子邮件帐户
- 今天在浏览一个博客时,突然看到一句话“成功就是不断重复地做简单的事”,不禁让我联想起咱们做站何尝不是这样:记得刚开始做站的时候,总是不停地到
- 11月18日消息,盛大游戏(NASDAQ: GAME)今天宣布,其18基金旗下新生代网络游戏开发商悠游数码所开发的3D大型多人在线网络游戏《
- 一、GOOGLE搜索引擎蜘蛛的等级首先先谈下GOOGLE蜘蛛起源。当GOOGLE搜索引擎刚建立之初,就拥有这一个非常强大的的服务器,其每天放
- 现象大家在使用 Apache Spark 2.x 的时候可能会遇到这种现象:虽然我们的 Spark
- 今天帮一个朋友去取google adsense支付的广告费,去的是一个以前没去过的网点,重庆市江北区观音桥农行,在这个网点取款时,居然要求填
- 后金融危机时代如何推动中国经济的转型和发展,专家开始把目光投入到电子商务领域。19日,中国企业评价协会理事长、国务院发展研究中心原副主任鲁志
- 整理一下 Windows Vista 下使用支付宝控件、证书的常见问题。问题:错误提示 "Cenroll 为空或不是对象,错误代码
- asp之家注:对于初次接触服务器的站长或网管朋友,相信一定都为PHP,mysql的配置烦扰过,因为配置这些确实很烦琐,他不像配置asp环境那
- “摇头娃娃”是美图秀秀[点击下载]独家首创的功能,把人物头部抠下后套用在素材“身
- 下述设置以时钟源服务器IP地址为192.168.0.1为例。可以命令ntpstat 和 ntpq -p 查看本机NTPD服务状态。配置完成后