旁註的過程:
1.利用工具或者網站WHOIS妳所要攻擊的目標資料,得到關於網站的域名註冊信息以及主機是否是虛擬主機的確定,因為這樣子才可以從旁註入。
2.看服務器上面的所有網站程序,要理解熟悉每個程序的編寫以及程序的功能(可以整天去源碼站看源碼,這樣子妳就會懂得如何去分別程序了)
3.利用現在所流行的所有漏洞來得到webshell
4.查看主機所開放的系統服務(這個辦法是為了得到我們所要得到目標網站的路徑)例如:Serv-u的用戶配置文件(不是用來提升權限)IIS的用戶配置文件(會泄漏大量用戶路徑的)殺毒軟件的LOG(這個可是可遇不可求的)
5.在盡量不接觸網站服務器的Admin權限下入侵(為了避免造成不必要的麻煩))
6.建議使用兩只以上的ASP木馬(ASP站長助手/砍客木馬)
旁註得思路!
什麽是旁註!比如妳要入侵A網站,但是在A網站上找不到漏洞!妳可以選擇和A網站同壹服務器下的B網站,C網站尋找漏洞。上傳漏洞也好,SQL註入也好,拿到webshell後提升權限,在服務器上找到A網站的目錄。。。
旁註需要什麽條件,需要註意哪些問題,今天在黑基看到壹篇好帖子,它很詳細得提供了旁註技術上的思路!作者是HaK_BaN!非常值得壹看!這篇文章把旁註技術上的思路寫得很完整,但是由於篇幅上的原因(也有可能是作者比較懶),內容並不詳細!
作為大家思路的補充和擴張非常得不錯!!!!
旁註是壹種思想,壹種考慮到管理員的設置和程序的功能缺陷而產生的,不是壹種單純的路線入侵方法,知道沒有?!不要整天看著文章去照著路子入侵,這是沒有作用的,只是徒勞無功。