自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

web服務(wù)器攻擊的八種方式

安全
本文主要講述了SQL注入漏洞的入侵、ASP上傳漏洞的利用、后臺數(shù)據(jù)庫備份方式獲得WEBSHELL等八種針對web服務(wù)器攻擊的方式。

隨著互聯(lián)網(wǎng)的高速發(fā)展,網(wǎng)絡(luò)走進(jìn)了千家萬戶,同時也有很大一部分人架設(shè)起了自己的網(wǎng)站。繼而不安分的黑客們,又將目光對準(zhǔn)了服務(wù)器攻擊這個方式,從而破壞或取得服務(wù)器的管理權(quán)限。本文將主要講述針對web服務(wù)器攻擊的八種方式。

1、SQL注入漏洞的入侵

這種是ASP+ACCESS的網(wǎng)站入侵方式,通過注入點列出數(shù)據(jù)庫里面管理員的帳號和密碼信息,然后猜解出網(wǎng)站的后臺地址,然后用帳號和密碼登錄進(jìn)去找到文件上傳的地方,把ASP木馬上傳上去,獲得一個網(wǎng)站的WEBSHELL,從而達(dá)到服務(wù)器攻擊的目的。

2、ASP上傳漏洞的利用

這種技術(shù)方式是利用一些網(wǎng)站的ASP上傳功能來上傳ASP木馬的一種入侵方式,不少網(wǎng)站都限制了上傳文件的類型,一般來說ASP為后綴的文件都不允許上傳,但是這種限制是可以被黑客突破的,黑客可以采取COOKIE欺騙的方式來上傳ASP木馬,獲得網(wǎng)站的WEBSHELL權(quán)限,從而達(dá)到服務(wù)器攻擊的目的。

3、后臺數(shù)據(jù)庫備份方式獲得WEBSHELL

這個主要是利用網(wǎng)站后臺對ACCESS數(shù)據(jù)庫進(jìn)行數(shù)據(jù)庫備份和恢復(fù)的功能,進(jìn)行服務(wù)器攻擊,備份數(shù)據(jù)庫路徑等變量沒有過濾導(dǎo)致可以把任何文件的后綴改成ASP,那么利用網(wǎng)站上傳的功能上傳一個文件名改成JPG或者GIF后綴的ASP木馬,然后用這個恢復(fù)庫備份和恢復(fù)的功能把這個木馬恢復(fù)成ASP文件,從而達(dá)到能夠獲取網(wǎng)站W(wǎng)EBSHELL控制權(quán)限的目的。

4、 網(wǎng)站旁注入侵

這種技術(shù)是通過IP綁定域名查詢的功能查出服務(wù)器上有多少網(wǎng)站,然后通過一些薄弱的網(wǎng)站進(jìn)行服務(wù)器攻擊,拿到權(quán)限之后轉(zhuǎn)而控制服務(wù)器的其它網(wǎng)站。

5、sa注入點利用的入侵技術(shù)

這種是ASP+MSSQL網(wǎng)站的服務(wù)器攻擊方式,找到有SA權(quán)限的SQL注入點,然后用SQL數(shù)據(jù)庫的XP_CMDSHELL的存儲擴(kuò)展來運行系統(tǒng)命令建立系統(tǒng)級別的帳號,然后通過3389登錄進(jìn)去,或者在一臺肉雞上用NC開設(shè)一個監(jiān)聽端口,然后用VBS一句話木馬下載一個NC到服務(wù)器里面,接著運行NC的反向連接命令,讓服務(wù)器反向連接到遠(yuǎn)程肉雞上,這樣遠(yuǎn)程肉雞就有了一個遠(yuǎn)程的系統(tǒng)管理員級別的控制權(quán)限。

6、sa弱密碼的入侵技術(shù)

這種方式是用掃描器探測SQL的帳號和密碼信息的方式拿到SA的密碼,然后用SQLEXEC之類的工具通過1433端口連接到遠(yuǎn)程服務(wù)器上,然后開設(shè)系統(tǒng)帳號,通過3389登錄。然后這種服務(wù)器攻擊方式還可以配合WEBSHELL來使用,一般的ASP+MSSQL網(wǎng)站通常會把MSSQL的連接密碼寫到一個配置文件當(dāng)中,這個可以用WEBSHELL來讀取配置文件里面的SA密碼,然后可以上傳一個SQL木馬的方式來獲取系統(tǒng)的控制權(quán)限。

7、提交一句話木馬的入侵方式

這種技術(shù)方式是對一些數(shù)據(jù)庫地址被改成asp文件的網(wǎng)站來實施服務(wù)器攻擊的。黑客通過網(wǎng)站的留言版,論壇系統(tǒng)等功能提交一句話木馬到數(shù)據(jù)庫里面,然后在木馬客戶端里面輸入這個網(wǎng)站的數(shù)據(jù)庫地址并提交,就可以把一個ASP木馬寫入到網(wǎng)站里面,獲取網(wǎng)站的WEBSHELL權(quán)限。

8、 論壇漏洞利用入侵方式

這種技術(shù)是利用一些論壇存在的安全漏洞來進(jìn)行服務(wù)器攻擊,上傳ASP木馬獲得WEBSHELL權(quán)限,最典型的就是,動網(wǎng)6.0版本,7.0版本都存在安全漏洞,拿7.0版本來說,注冊一個正常的用戶,然后用抓包工具抓取用戶提交一個ASP文件的COOKIE,然后用明小子之類的軟件采取COOKIE欺騙的上傳方式就可以上傳一個ASP木馬,獲得網(wǎng)站的WEBSHELL。

【編輯推薦】

  1. 巧妙實現(xiàn)對web服務(wù)器攻擊實例詳解
  2. 微軟:Web服務(wù)器攻擊與IIS等軟件缺陷無關(guān)
  3. 詳細(xì)介紹如何進(jìn)行Linux服務(wù)器攻擊的分級防御
  4. 六省網(wǎng)絡(luò)癱瘓緣起黑客私斗:租91臺服務(wù)器攻擊
  5. 揭秘Web應(yīng)用服務(wù)的四大弱點
責(zé)任編輯:張啟峰 來源: IT168
相關(guān)推薦

2010-01-05 16:35:17

2009-10-14 10:16:45

2011-03-17 14:07:39

2010-10-09 14:38:40

2014-11-10 10:44:16

2011-03-17 14:21:35

2013-05-02 11:48:26

2018-05-04 12:22:47

2009-09-15 17:21:00

2013-05-22 15:26:24

2013-09-03 10:01:13

服務(wù)器機(jī)房數(shù)據(jù)

2018-03-15 08:25:53

2009-03-06 16:30:51

2011-03-15 16:57:15

2018-11-30 10:34:24

2015-01-20 09:35:52

2011-03-22 14:35:24

2014-06-05 09:58:21

2009-01-08 19:06:00

服務(wù)器安全Web服務(wù)器

2010-08-24 09:49:44

點贊
收藏

51CTO技術(shù)棧公眾號