转载:实战黑客入侵网站教程轻松拿下1000个网站

我们生活在互联网时代,重视个人信息及网站数据安全尤为重要,但又有多少互联网从业者真正做到了保护数据及隐私的安全呢。开通网站安全版块为站长们分享网站安全与黑客入侵网站的相关案例,目的提醒站长们注重自己的网站帐号数据和资料安全,尽可能的把网站被黑的风险降到最低。

网站安全入侵

一,胜率

初恋结婚的概率为1%,所谓天长地久,不过是一厢情愿。

初次创业的成功率在5%左右,所谓雄心壮志,只是廉价炮灰。

赌场的胜率只需多占1%,那些聪明智慧运气爆发的赌客,终究只能是输家。

勇气、拼搏、努力、挑战自己、大无畏精神… 这些溢美之词,终将成为凡人的噩梦,任他天赋异禀,才华绝伦,也免不了一世悲剧。

想要成为最终的赢家,其实也简单。

永远站在胜率较高的一方!绝不孤注一掷!挑软柿子捏!

积跬步必至千里,积小流终成江海,携大道之力,可破万物。

世界上什么东西也替代不了持之以恒,才华不能够,因为不成功的才子到处都是;天赋也不能够,因为这个世界上到处是受过良好教育的乞丐。惟有正确的方法和持之以恒才是万能的。

万法相通,哥哥已经多年没接触黑客技术,但入侵网站的效率反而更胜从前。

二,批量入侵网站

无论多么严密的系统和安全措施,终究是人在操控,人才是漏洞的根源。

无需任何技术,小学以上文化水平,智力不低于人类平均水平,就能实施黑客攻击。

* 弱口令批量入侵

弱口令批量入侵

做网站时,先要将网站源码上传到服务器。

FTP就是上传源码到服务器的软件,因此只要获得网站的FTP密码,这个网站的所有数据就唾手可得。

总会有一些网站的密码非常简单,如上图某网站的密码是123456;

通过搜索引擎采集大量网址,然后用软件自动扫描,成千上万个网站中,总会有那么几个网站的密码很简单。

根据哥哥的测试,此方法有0.03%的成功率,1万个网站中有3个是弱密码。

黑产可以倒卖这些网站的数据获利,也可以用这些网站发广告赚钱,尤其是博彩行业最喜欢这么干,收获颇丰。

* 漏洞批量入侵法

哥哥随手搞了下,轻松拿下几百个网站的权限,这其中包括大型集团、商城、政府、银行…

“struts 2”是个网站应用框架,程序员在struts2框架的基础上能方便快捷的开发出各种网站。但这个框架在2014年~2018年期间,出现8个漏洞,无数大型网站沦陷,堪称黑产圈的狂欢节。

虽然是老漏洞了,但必定还有很多网站比较幸运,没有被入侵,就拿这些幸运儿开刀吧。

使用“struts 2”框架做的网站,网址通常会包含一个单词“action”。

用百度高级指令搜索,inurl:action,意思是搜索所有网址中包含字母“action”的网站。

为了提高效率,哥哥用软件批量在百度采集网址,如下图

百度采集网址

将采集的网址导入“struts 2漏洞软件”,软件能自动批量检测。

百度采集网址

1%以上的网站存在漏洞,银行、学校、物流系统…无一幸免。

下图是某学校网站的测试结果,可以随意查看网站的任何信息,包括服务器的配置、安装了哪些软件、管理员用户名等信息,从图片能看出,这是个Windows系统,管理员的用户名是:administrator 。

百度采集网址2

为了更方便的看到网站的数据,百度搜索“jsp木马”,随便找一段代码上传到这个网站。

网站弱口令3

打开木马,就能管理服务器的所有内容,Windows2012系统,硬盘里有几百G的资料…

网站弱口令shll

为了避免被请喝茶,哥哥就不深入了,漏洞已经告知这家学校了。

实战黑客入侵网站教程轻松拿下1000个网站

诈骗人员会专门购买学生资料,然后打电话行骗,当年的徐玉玉案就是如此,都是学校保护资料不力,疏于管理导致的。

接下来,哥哥继续演示利用商城系统的漏洞,批量入侵。

ecshop网站弱口令

ecshop在国内非常主流,大部分商城网站都是用这套系统做的。

ecshop漏洞和刚才的struts 2漏洞的操作方法一样,先用软件采集全网各大商城的网址,然后用软件批量检测。

ecshop漏洞

0.5%的概率能成功,软件会自动生成一个“coon.php”的木马文件,密码是sb,用下图的软件就能连接。

木马文件截图

这个商城的所有源代码和数据,黑客可以随意删除或更改。

哥哥顺手打开商城网站的数据库文件,看到数据库用户名和密码。

实战黑客入侵网站教程轻松拿下1000个网站

用软件“Navicat”连接这个数据库,找到保存用户信息的数据表… 可以获取商城的所有用户信息,包括邮箱、手机号、用户名…

Navicat连接数据库

在检测的过程中,无意中进入某公司的服务器,这个服务器上居然有上百个网站…

瞬间几百个网站的数据就公开了…

网站安全漏洞图

其他漏洞的操作方法同理,轻而易举就能入侵成千上万个网站。

三,黄雀在后

聪明的读者肯定会留意到上面的一句话“软件会自动生成一个“coon.php”的木马文件,密码是sb”

批量入侵留的木马地址和密码都是一样的…

所以!根本不需要我们上传木马,只需跟着大佬的脚步,批量扫描网站是否存在木马文件,并用大佬的密码连接。

WEB漏洞扫描器

既然ECShop漏洞攻击软件,会生成一个coon.php的木马文件,密码是sb,那么我们只需批量采集商城网址,然后用软件扫描是否存在coon.php的文件,这样就能获取其他黑客搞过的网站。

这个思路极为逆天!

百度搜“被黑网站统计”,有许多小黑客在获得网站的权限后,会上传一个装逼的网页,并提交到黑客网站,满足虚荣心的同时还能给自己做宣传。

小黑客们入侵后,留的木马后门通常都一样,因此只需搞定某个黑客入侵的某个网站,一般就能获取他在所有网站留的木马后门。

哥哥用此法把某位大佬的所有木马都删了…

黑产的变现手法极多,出售用户数据、DDOS攻击、挂广告…这些只是入门级玩法。

针对业务型网站实施的攻击,堪称抢劫。

入侵点卡网站,用网站余额批量给自己的号充值,然后转手出售,一晚洗劫数十万。

入侵竞价网站,偷别人网站的客户。

四,大道至简

无极领域的文章标题,只要和网赚相关,标题带有日赚xxx元,阅读量通常比其他内容多一倍。

项目终会失效,漏洞总会过时,忙碌半世,终免不了一场悲剧。

在一秒钟内看到本质的人和花半辈子也看不清一件事本质的人,自然是不一样的命运。

注:软件就不提供了,都是网上免费的下载。黑客攻击是违法行为,涉及到的漏洞已通知管理员。下篇要不写个,精准入侵某卖号网站?

— 完—

(文章转载自 无极领域 原文出处 http://1230.la 内容和思路归原作者所有,本站分享交流学习之用)

本文来自无忧SEO技术博客https://www.ainiseo.com/webscan/4490.html ,经授权后发布,本文观点不代表小嵘SEO立场,转载请联系原作者。

(4)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2019年3月13日 22:48
下一篇 2019年3月13日 22:58

相关推荐

  • 转载:实战案例:精准入侵号码交易网与黑客远程定位

    这是第二篇关于网站安全与黑客攻防的案例教程,本文系转载内容介绍到的工具和思路仅供学习参考,做为站长SEO从业人员要提升警惕,不要成为别人攻击的对象。 切记:害人之心不可有,防人之心不可无。 一,谨防网络骗子 有位读者粉丝打算买6位数的QQ号,发来个网址,问是不是骗子。 顺手打开网址~网页如下图。 哎,如今的骗子真是越来越不长进了。 哥哥之前写过多篇行骗大术,…

    2019年3月13日 网络安全
    1936
  • 网络安全:简单地介绍关于文件包含漏洞

    这次,小编来介绍一下“关于文件包含漏洞”。 文件包含漏洞,一般来说,可以是这两种:文件包含漏洞分为本地文件包含(Loacl File Inclusion,LFI)和远程文件包含(Remote File Inclusion,RFI)) 其实呢,文件包含漏洞是一种最常见的漏洞类型,它会影响依赖于脚本运行时的web应用程序。当应用程序使用攻击者控制的变量构建可执行…

    2019年10月12日 网络安全
    01.1K
  • 什么是DNS投毒与DNS劫持?

    什么是DNS投毒与DNS劫持?今天小编就来给大家分享一下。DNS投毒太可怕了,中了污染基本域名就没救了….. DNS污染,又称为域名服务器缓存污染(DNS cache pollution)或者域名服务器快照侵害(DNS cache poisoning)。是指一些刻意制造或无意中制造出来的域名服务器分组,把域名指往不正确的IP地址。一般来说,外间在…

    2019年9月27日
    01.7K
  • 关于Vbs脚本病毒专杀工具下载和用法

    BS脚本病毒是使用VBScript编写,以宏病毒和新欢乐时光病毒为典型代表的VBS脚本病毒十分的猖獗,很重要的一个原因就是其编写简单。VBS脚本病毒具有如下几个特点。 ①编写简单。一个以前对病毒一无所知的病者爱好者,可以在很短时间内编写出一个新型病毒!②破坏力大。其破坏力不仅表现在对用户系统文件及性能的破坏,它还可以使邮件服务器崩溃,使网络发生严重堵塞!③感…

    2019年3月14日
    01.3K
  • 转载:聊一聊ssrf漏洞的挖掘思路与技巧

    这次,小编来转载一篇关于网络安全的文章干货:”聊一聊ssrf漏洞的挖掘思路与技巧“。 所以此文章的内容除了干货还是干货,如果你看完了还是不会挖ssrf,那可以来找本文作者 前言 什么是ssrf SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的…

    2019年6月12日 网络安全
    0993
  • 网站被镜像反向代理应该如何解决?

    这次,小编来给大家说说关于一种黑技术 ”反代“,如果被反向代理了,那就是说整个站几乎都被镜像代理了,这对自己的站危害甚大啊。那么,网站被镜像反向代理应该如何解决呢?接下来,小编就给大家说说吧。 如果某天查看Nginx日志发现自己的网站被设置301 跳转了,想想只是跳转,没实际危害就算了。但是,如果站长你查询日志,发现居然变本加厉反向代理了整个站,再查发现居然…

    2019年11月26日
    02.9K
  • 织梦DedeCMS的安全设置-视频

    DedeCMS织梦安全设置视频 建制人:无忧 主题:织梦安全设置 时长:7分钟 第一部分: http://cloud.video.taobao.com//play/u/157083488/p/2/e/6/t/1/32520276.mp4 有小伙伴说视频不清楚,请复制以下地址打开观看。 http://cloud.video.taobao.com//play/u…

    2019年3月13日
    0993
  • WordPress博客网站被黑了应该如何解决?

    WordPress博客网站,一直以来都是安全性高、拓展性强而受到广大用户的欢迎,平时也极少听到有关于Wordpress网站被黑的事情。那么,Wordpress真的不会被黑吗?事实并非如此,网站的安全除了系统以外最重要的因素就是站长,Wordpress系统肯定是没问题,一直都有专业的技术人员在维护,更新频率还是挺频繁的,因此,Wordpress网站是否安全完全…

    2019年9月22日
    01.0K
  • 关于wordpress博客网站的杀毒教程

    这次,小编准备给大家介绍的是“关于wordpress博客网站的杀毒教程”。 实际上,WordPress建站非常简单,选择一个好的主题,多使用,多磨合,多练多时间,你就会了,你就熟悉了。 然而,关于网站中毒的话,虽然不是每个人都能遇到,遇到就非常麻烦了。 下面,是1个网站中了病毒的案例: 一个一直跟踪的网站流量被腰斩,起初以为这个是这个网站垃圾外链,被谷歌惩罚…

    2019年8月12日 网络安全
    0890
  • D盾Web查杀Webshell查杀下载

    D盾_Web查杀 软件使用自行研发不分扩展名的代码分析引擎,能分析更为隐藏的WebShell后门行为。引擎特别针对,一句话后门,变量函数后门,${}执行 ,`执行,preg_replace执行,call_user_func,file_put_contents,fputs 等特殊函数的参数进行针对性的识别,能查杀更为隐藏的后门,并把可疑的参数信息展现在你面前,…

    2019年3月13日
    01.2K
  • 推荐一款免费的网站后门在线查杀工具

    网络安全,对于各位站长来说,现在是至关重要。网站被黑,网站被挂后门,可能会造成各种的损失。做好网络安全防护对于SEO优化也是至关重要的一步,保护好自己的网站,也能保护好自己网站的排名。这次,小编来推荐一款免费的网站后门在线查杀工具,希望对大家有帮助。 最近网站被挂马劫持风险非常之高,负责的几个网站都被植入后门和挂马,网站流量深受其害,今天为大家介绍一款在线木…

    2019年12月15日
    01.4K
  • 匿名线上聊天室,一次性匿名在线聊天工具

    科技越来越发达了,但是科技进步的同时,大家有注意到私隐的问题嘛?美国多次曝光社交媒体公司频繁泄露用户的私隐,不仅如此,就连手机制造商也有泄露用户私隐的情况出现。那我们平时在互联网聊天的时候有什么需要注意的呢?如何保护我们的个人私隐不被泄露?如何从聊天软件入手去保护我们的私隐?这次小编来介绍一下比较安全的聊天工具吧。   相信大家会遇到这种情况:在某…

    2019年8月17日 网络安全
    03.7K