我用的旁注入侵网站,为什么入侵的网站和我想入侵的网站不同?
虚拟主机 许多网站都是放在一台机器里的,如果权限设置的不好,入侵一个站就能连带其他站
旁注的话网上有教程,能不能成功要看对方机器的防护水平.
跳转,如果没有权限就要提权,至于怎么提权要看那台机器的设置了
学习入侵网站需要什么基本知识?
我的空间 主页|模块平台博客|写新文章相册|上传照片好友|找新朋友档案|留言板jonyoo 0 | 我的消息(0/2) | 我的空间 | 百度首页 | 百度空间 | 退出 思想之路人不停的长大,路不停的伸向远方,借百度之空间记录我思想的历程,不管思想怎样,这里所记录的都是真实自我的反映.我爱这片园地,因为他是一面镜子,照我前行! 主页博客相册|个人档案 |好友 查看文章
学习网站入侵基本知识(转)2007-06-07 15:20首先介绍下什么样的站点可以入侵:必须是动态的网站,比如asp、php、jsp 这种形式的站点。后缀为.htm的站点劝大家还是不要入侵了吧(入侵几率几乎为0)。
入侵介绍: 1 上传漏洞;2 暴库;3 注入;4 旁注;5 COOKIE诈骗。
1 上传漏洞,这个漏洞在DVBBS6.0时代被黑客们利用的最为猖獗,利用上传漏洞可以直接得到WEBSHELL,危害等级超级高,现在的入侵中上传漏洞也是常见的漏洞。
怎样利用:在网站的地址栏中网址后加上/upfile.asp如果显示 上传格式不正确[重新上传] 这样的字样8成就是有长传漏洞了找个可以上传的工具直接可以得到WEBSHELL。
工具介绍:上传工具,老兵的上传工具、DOMAIN3.5,这两个软件都可以达到上传的目的,用NC也可以提交。
WEBSHELL是什么:WEBSHELL在上节课简单的介绍了下,许多人都不理解,这里就详细讲下,其实WEBSHELL并不什么深奥的东西,是个WEB的权限,可以管理WEB,修改主页内容等权限,但是并没有什么特别高的权限,(这个看管理员的设置了)一般修改别人主页大多都需要这个权限,接触过WEB木马的朋友可能知道(比如老兵的站长助手就是WEB木马 海阳2006也是 WEB木马)我们上传漏洞最终传的就是这个东西,有时碰到权限设置不好的服务器可以通过WEBSHELL得到最高权限。
2 暴库:这个漏洞现在很少见了,但是还有许多站点有这个漏洞可以利用,暴库就是提交字符得到数据库文件,得到了数据库文件我们就直接有了站点的前台或者后台的权限了。
暴库方法:比如一个站的地址为 http://www.xxx.com/dispbbs.asp?boardID=7ID=161,我门就可以把com/dispbbs中间的/换成%5c,如果有漏洞直接得到数据库的绝对路径,用寻雷什么的下载下来就可以了。还有种方法就是利用默认的数据库路径http://www.xxx.com/后面加上conn.asp。如果没有修改默认的数据库路径也可以得到数据库的路径(注意:这里的/也要换成%5c)。
为什么换成%5c:因为在ASCII码里/等于%5c,有时碰到数据库名字为/#abc.mdb的为什么下不了? 这里需要把#号换成%23就可以下载了,为什么我暴出的数据库文件是以。ASP结尾的?我该怎么办?这里可以在下载时把.ASP换成.MDB 这样就可以下载了如果还下载不了可能作了防下载。
3 注入漏洞:这个漏洞是现在应用最广泛,杀伤力也很大的漏洞,可以说微软的官方网站也存在着注入漏洞。注入漏洞是因为字符过滤不严禁所造成的,可以得到管理员的帐号密码等相关资料。
怎样利用:我先介绍下怎样找漏洞比如这个网址 http://www.xxx.com/dispbbs.asp?boardID=7ID=161 后面是以ID=数字形式结尾的站我们可以手动在后面加上个 and 1=1 看看 如果显示正常页面再加上个and 1=2 来看看 如果返回正常页面说明没有漏洞 如果返回错误页面说明存在注入漏洞。如果加and 1=1 返回错误页面说明也没有漏洞,知道了站点有没有漏洞我门就可以利用了 可以手工来猜解也可以用工具现在工具比较多(NBSI NDSI 啊D DOMAIN等)都可以用来猜解帐号密码,因为是菜鸟接触,我还是建议大家用工具,手工比较烦琐。
4 旁注:我们入侵某站时可能这个站坚固的无懈可击,我们可以找下和这个站同一服务器的站点,然后在利用这个站点用提权,嗅探等方法来入侵我们要入侵的站点。打个形象的比喻,比如你和我一个楼,我家很安全,而你家呢,却漏洞百出,现在有个贼想入侵我家,他对我家做了监视(也就是扫描)发现没有什么可以利用的东西,那么这个贼发现你家和我家一个楼,你家很容易就进去了,他可以先进入你家,然后通过你家得到整个楼的钥匙(系统权限),这样就自然得到我的钥匙了,就可以进入我的家(网站)。
工具介绍:还是名小子的DOMIAN3.5不错的东西,可以检测注入,可以旁注,还可以上传!
5 COOKIE诈骗:许多人不知道什么是COOKIE,COOKIE是你上网时由网站所为你发送的值记录了你的一些资料,比如IP,姓名什么的。
怎样诈骗呢?如果我们现在已经知道了XX站管理员的站号和MD5密码了,但是破解不出来密码(MD5是加密后的一个16位的密码)我们就可以用COOKIE诈骗来实现,把自己的ID修改成管理员的,MD5密码也修改成他的,有工具可以修改COOKIE 这样就答到了COOKIE诈骗的目的,系统以为你就是管理员了。
今天的介绍就到这里了,比较基础,都是概念性的东西,所有的都是我的个人理解,如有不正确的地方希望大家指出(个人认为就是,为什么换成%5c,这里有点问题)。
网站一定要有虚拟主机和服务器吗
简单的网站,需要有个虚拟主机,这是存放网页的文件的地方,至于服务器,不是必须的,虚拟主机本身就是服务器上的一个目录,所以,没有必要购买服务器,但是网站必须放在虚拟主机上
建立一个网站一定要有自己有服务器吗?虚拟服务器是怎么回事?
不一定
可以用虚拟服务器
定义
虚拟服务器是:
通过 Web 服务器(一台高性能的机器),在一块网卡上绑定多个 IP 地址,而不同的 IP 地址绑定于同一台 WWW 服务器上的不同的主页目录,当用户访问不同的 IP 地址时,其对应的主页就会被分发出去,一台 WWW 服务器就好像许多 WWW 服务器一样。这样可以节约硬件资源,降低 WWW 服务器维护的成本,便于网页的集中管理,缺点是对 WWW 服务器的硬件要求较高,在网络访问高峰期系统性能下降较大,还有安全隐患。在 WindowsNT 和 Linux 上都可以建立虚拟服务器。
区别
虚拟主机和虚拟服务器有什么本质的区别?
所谓虚拟服务器,就是把一台运行在互联网上的服务器划分成多个“虚拟”的服务器,每一个虚拟主机都具有独立的域名和完整的Internet服务器(支持WWW、FTP、E-mail等)功能。一台服务器上的不同虚拟主机是各自独立的,并由用户自行管理。但一台服务器主机只能够支持一定数量的虚拟主机,当超过这个数量时,用户将会感到性能急剧下降。 虚拟主机是使用特殊的软硬件技术,把一台运行在因特网上的服务器主机分成一台台“虚拟”的主机,每一台虚拟主机都具有独立的域名,具有完整的Internet服务器(WWW、FTP、Email等)功能,虚拟主机之间完全独立,并可由用户自行管理,在外界看来,每一台虚拟主机和一台独立的主机完全一样。盛势网络为中小客户提供优质的网络环境和服务器,并由高级网管负责监控。
虚拟主机这个市场实际上是很不规范的,国家没有相应的法规来规范虚拟主机市场,因此这里就存在许许多多的问题,很多时候,这些问题只能靠我们自己去解决,因此你就必须学会如何去选购虚拟主机,一旦不慎,你会发现这是一个非常让人痛苦的问题。
一、什么是虚拟主机
所谓虚拟主机,就是把一台运行在互联网上的服务器划分成多个“虚拟”的服务器,每一个虚拟主机都具有独立的域名和完整的Internet服务器(支持WWW、FTP、E-mail等)功能。一台服务器上的不同虚拟主机是各自独立的,并由用户自行管理。但一台服务器主机只能够支持一定数量的虚拟主机,当超过这个数量时,用户将会感到性能急剧下降。 虚拟主机是使用特殊的软硬件技术,把一台运行在因特网上的服务器主机分成一台台“虚拟”的主机,每一台虚拟主机都具有独立的域名,具有完整的Internet服务器(WWW、FTP、Email等)功能,虚拟主机之间完全独立,并可由用户自行管理,在外界看来,每一台虚拟主机和一台独立的主机完全一样。盛势网络为中小客户提供优质的网络环境和服务器,并由高级网管负责监控。
二、选购虚拟主机应考虑哪些因素
您可以通过试用来了解您要选购的虚拟主机的各项性能,虚拟主机服务提供商一般会在用户购买其服务之前提供几天的试用时间,你完全可以在这几天的时间里了解虚拟主机的性能,给自己的网页和电子邮件挑选到一个合适的“大家庭”。
1、速度是第一位的
使用电信骨干线路的、配置有约100个用户的虚拟主机,其网速肯定要比那些采用ADSL等低速线路连接的独立主机要快得多。
2、稳定性非常重要
当然,除了速度,我们还要注意网络环境的稳定性和安全性,比如服务商是否采用了思科、3Com的路由器连接到网络,是否购买了网关防火墙,是否有专人全天24小时监视来自网络的各种攻击……只有具备了上述条件的主机服务商才是我们选择的目标。有些虚拟主机服务商随便找条低带宽的线路,再东拼西凑一些设备,找两个懂得调试Windows 2000的技术人员,然后就仓促上马提供服务。就算其价格再便宜,也是不能用的。
服务稳定性源于服务商的基础设施。配置较高档的服务器,配有冗余设备、RAID卡等;有保证电源输入稳定的UPS、应急发电机;有保持恒温、恒湿的设备等等。当然,这些硬件设施,有时我们是不可能亲眼看到的。所以,购买之前通过多种途径(比如服务商的网站)多了解服务商的情况非常重要!毕竟,知己知彼,才能找到适合的主机!
3、想想你需要多大的空间
虚拟主机服务器提供硬盘空间的类型分为独立Web空间、数据库空间、独立邮局空间等。虚拟主机空间的大小主要依据发布信息的多少。如果你的网站包含有10到150个左右的页面,每页算上相关图片,有100多KB,那你租用60MB的空间就差不多了。如果页面在几百页以上,并且需要有数据库支持,那你需要的相应空间应该在100MB到200MB之间。实际所需空间不足时可以再补差价向服务商申请增加空间大小;若一开始购买空间很大,可总也用不上那么多,退也退不掉,无疑是浪费金钱。
4、考虑一下虚拟主机的软件条件
虚拟主机的服务器一般采用Windows 2000(NT)、windows 2003和UNIX(linux)等服务器操作系统,各有所长。数据库空间也分为两类:Windows 平台的 IIS 5.0/Access数据库空间和Linux平台的MySQL/PHP数据库空间。不过笔者个人还是比较倾向于选择Unix(linux),但是对于经常调用各种数据库且需要进行ASP网页设计的公司用户而言,则只能采用Windows 平台,UNIX系统支持的是PHP。
5、认识虚拟主机所在地点和价格
服务器存放的地点也是选购时一定要仔细考虑的。如果网站的信息宣传范围在国外,那租用在美国的虚拟服务器是最佳选择,因为美国的网络带宽最大;如果宣传的范围主要在国内,那就租用放在国内电信节点的服务器为最好。对于价格,大家都是很敏感的。一些电信旗下的服务商价格会比较高,不过现在随着诸多虚拟主机服务商的崛起,虚拟主机的价格现在已经低了很多。
6、售后服务是不是到位
如“无法创建电子邮箱”、“主页无法访问”等等常见的售后问题,大概是不少拥有虚拟主机的朋友经常遇到的。有的服务商将销售放在首位,售后服务不是很完善,如只在首页做了邮箱设置方法、FTP设置方法以及技术问题的“伊妹儿”链接就完事了。而标榜的服务热线是服务商本地的电话,若外地朋友遇到问题打长途还得自己买单。具有本地售后服务支持、全国免费800售后电话支持的公司,无疑让我们在选购之前就放心了不少。购买之前可以装成客户询问一些问题、留意一下服务商的售后服务质量及态度,售后服务出色的虚拟主机在以后使用时会轻松很多。
7、多比较多发现问题
虚拟主机提供商往往会欺生,如果你对虚拟主机市场不熟悉,对很多概念上的东西都不清楚,那么你就很容易被黑心的商家给欺骗了,俗话说生一场大病便成了半个医生,所以你必须去了解其中的病理,去发现虚拟主机提供商有哪些不正当的手段来欺骗用户,比如虚拟主机服务器的硬件配置情况、IIS连接数、是否提供你需要的组件等,还要考虑到机房放置的位置以及带宽等,这些都要考自己去摸索。
虚拟主机是什么?服务器又是什么啊?建网站需要哪个?
建站需要域名,服务器和建站程序
服务器可以开多个虚拟主机(即硬盘上的空间), 虚拟主机实际上就是服务里面分成的若干空间.但提供一个域名可以浏览,实际上只是同一台服务器里面的一部分硬盘空间,所以就叫做虚拟主机.
性价比来说服务器要高出许多,如果是独立IP的虚机费用都快赶上服务器了,还不如直接服务器,一台服务器可以建很多网站
域名和服务器可以用阿里云的,大服务商比较稳定:网页链接
建站程序可以用常用的开源程序来做的,如dedecms,wordpress等等
网上资源很多,教程也很多,新手也容易上手,如果找不到好的,可以直接某宝几块钱可以买上千个模板,直接套模板建站,好看实用,后期再在原模板上做修改调整或者开发
建站大概流程就是
域名实名认证,服务器如果是国内的先备案,都可以在服务商后台操作的
都好了之后,域名解析到服务器
服务器配置环境,win系统直接用宝塔配置换,PHP+MYSQL+IIS 就可以的
服务器开设空间,绑定域名和开设数据库,这个都用宝塔来操作
上传网站程序到开设空间对应的文件夹里
访问域名搭建网站
网上都可以找到对应的教程 的,新手还是比较容易上手的哈
安全方面,服务器要再装一个安全狗,这样网站不容易被入侵
做网站一定要虚拟主机吗
可以不用虚拟主机,但是需要你有固定ip地址。主机没有什么适合谁用的,关键是你网站的内容而已,只要你购买虚拟主机的服务器速度够快,够稳定就ok了
网站的建立是否都需要服务器 服务器和虚拟主机的区别
服务器属于资源独享,如带宽,硬盘,cpu,内存.都是您独自用的.环境需要您或者服务器商配置,这个可以根据您的需要.您如果要服务器的话最好公司中有能够管理服务器的人员.
虚拟主机
上面所说的都是共享的.好多虚拟主机共用一台服务器.对于小网站来说还是够用的.
服务器主要适用于大的网站.