一、信息收集
信息收集,是主要收集关于入侵对象的更多信息,方便后续漏洞挖掘。需要收集以下大概信息:
(1)whois信息:注册人,电话,邮箱,DNS,地址
(2)Googlehack:敏感目录、敏感文件、后台地址、更多信息收集
(3)服务器IP:nmap扫描,端口对应服务、C段
(4)旁注:bing查询、脚本工具
(5)如果遇到CDN:绕过从子域名下手、dns传送域漏洞
(6)服务器、组件指纹,操作系统,web容器、脚本语言
二、漏洞挖掘
通过收集到的信息,然后就进行漏洞挖掘。漏洞一般是操作系统或者应用软件设计的时候由于逻辑不严谨,留下了安全漏洞;还有可能网站管理人员配置web服务器或数据库服务器不当,而留下了安全漏洞。一般漏洞大概如下:
(1)探测web应用指纹:
博客类:WordPress、emlog、Typecho、Z-blog
社区类:discuz、phpwind、dedecms、startBBS、Mybb
PHP脚本类型:dedecms、discuz、PHPcms、PHPwind
(2)xss、csrf、xsio、sqllinjection、权限绕过、任意文件读取、文件包含
(3)上传漏洞:截断,修改,解析漏洞
(4)有无验证码:暴力破解
漏洞千千万万,这列举的也仅仅是其中一部分而已。
三、漏洞利用
如果发现某个漏洞之后,就开始漏洞攻击,获取相应权限,根据场景不同变化思路拿webshell或者其他权限
(1)思考目的性,要达到什么效果
(2)隐藏,破坏性,探测到的应用指纹寻找对应exp攻击载荷或者自己编写
(3)开始漏洞攻击,获取相应权限,根据场景不同变化思路拿webshell
四、提权
黑客根据对应漏洞,获取了一定的权限,但不一定是最高权限,有可能只是一个普通用户的权限,这个时候就需要配合另外一些本地漏洞来进行提升普通用户权限了,将权限扩大化。只有把权限提升之后,才更加方便后续的操作。
(1)根据服务器类型选择不同的攻击载荷进行权限提升
(2)无法进行提权,结合获取的资料开始密码猜解,回溯信息收集
五、实施攻击
当黑客获得最高权限后,就可以对目标为所欲为了。包括篡改网站首页、篡改其他重要文件、窃取信息、上传后门程序等。
六、留后门
黑客留后门的目的,是为了下次更加方便的进入系统。上传运行后门木马便是其中一种手段,当然这种手段很多。
七、日志清理
清理日志是最后的善后工作,因为对操作系统的任何操作,都会有对应的日志记录下来。已经获得了最高权限,为了隐藏自身,黑客往往需要删除或者篡改对应的日志。
(1)伪装、隐蔽,删除指定日志
(2)根据时间段,find相应日志文件
结束语
以上是小黄总结的黑客入侵的大概流程,不提供任何入侵具体细节,仅供运维新手或对黑客入侵感兴趣人士了解下流程。小黄作为一个网站运维人员,对网站入侵也需要做一定的了解,才能更好的做对应的防护工作。在实际工作过程中,信息收集这部分基本每天都有,可以说几乎时时刻刻都有探测之类的;即将入侵成功(事中发现异常)和已经入侵成功(事后发现异常)也发现好几起。
文|技术猿小黄图|来源于网络
偶是技术猿小黄,很高兴为您回答,如果您喜欢偶的回答,可以关注偶,点个赞,谢谢
如果您有什么想法或建议,欢迎下方留言评论。
如何更新自己的网站?
看你用的是什么网站管理系统了,更新一般在网站后台更新。 常见的网站管理系统有,dedecms、discuz、帝国、ECShop、 phpwind、WordPress等等。 如果是dedecms、ecshop、WordPress等的就是在网站后台更新文章。 像diasuz、phpwind、帝国等前台后台都行。 如果是其他网站程序,一般都是在网站后台更新文章。 文章的更新一般要一定的管理权限的。
linux服务器中mysql的一个数据库织梦建站总是被删除?
删掉的到底是表还是库?其次,查看日志,查看有没有删除操作,如果没有信息,查看binlog,解析成sql,查找删除操作,删除的时间段、执行的用户等信息。考虑数据库会不会已经被人获取权限,查找数据库中的用户,看有没有伪装成root或者普通用户的未知用户。查找系统登录信息,历史记录,端口、进程,查看系统是否已经被获取权限。
wordpress建站教程?
假如你是一个菜鸟,也能从0开始,10分钟学会搭建(wordpress,Dede,Discuz!..)网站。
网站=域名+空间和数据库+网站程序+模板
1准备材料
【域名】 网址就相当于家的住址,记住和找到家的位置。可在阿里云,新网,爱名网或其它IDC商购买注册。
【空间和数据库】 就是盖房子的地基。同样可在阿里云,新网,爱名网或其它IDC商购买。空间的环境视程序要求不同而不同,不过现在网站程序环境要求基本都是php+mysql。
【程序】 就是家的主体框架,是整个家的运转中心。可以选择Wordpress个人博客,Dede内容网站,Discuz!论坛等系统。
【模板】 网站的美化就是家的装修。大家可以选择“柚子皮”。
这次以Wordpress为例,其它网站系统操作大同小异。备好上述材料后,准备软件Flashftp,即可开工。
2域名解析和空间绑定
A . 购买后的空间会有一个IP地址,在域名管理后台,把域名记录解析就到空间的IP地址上,一小时内基本生效。
B. 在空间的后台,把空间和域名绑定,这样空间和域名就连接在一起了。
两步之后即可通过域名访问空间。注:不同的IDC商,域名和空间的管理后台会不一样,但功能基本一致。
3网站程序安装
A . 到wordpress官网,下载最新版的Wordpress。
下载
B . 利用FTP工具,把Wordpress压缩包上传到空间,利用空间后台解压功能把Wordpress解压。不过你也可以在电脑上把Wordpress压缩包解压后再上传,也是一样。
C . 下载wp-config-sample.php文件,重命名为:wp-config.php。打开文件,填进相关空间数据库信息,保存文件并上传。
D . 打开浏览器,输入域名,即可弹出安装界面。填上相关网站信息,点击安装按钮即可完成。
安装界面
安装完成,后台登录
使用默认模板的网站前端
E . 安装你喜欢的模板,例如“柚子皮”,配置网站版块信息即可完成建站。现在你只需要每天更新内容,等待百度,搜狗,360等搜索引擎收录。如果你想做关健词优化,可以找偶。
- END -
11,91373wordpress 页面判断函数总结.03.20 is_category()wordpress判断分类页面近期文章WordPress是什么?WordPress调用最新,随机,热门,指定分类代码汇总WordPress建站,FTP使用教程WordPress自定义栏目使用教程wordpress主题模板安装网站标签Wordpress建站Wordpress安装wordpress空间Wordpress模板Wordpress固定链接Seo搜索菜鸟建站模板更换建站教程用户体验
建网站要用什么?
从另一个回答复制过来的,感觉大部份切合主题,所以贴到这里。
说到怎么建网站嘛?网上一搜一大堆,无非就是从域名、服务器、程序、模板等开始。说的会让小白云里雾里的,感觉多难一样,其实只要有一点基础,做个简单的站不是太难的,偶当初也是从服务器开始。建立人生中第一个网站就是自己买的服务器,服务器就相当于一台电脑的主机,用来存放源码的文件的、
源码 一般来说可以指源代码,可以理解为一个统称,就是一个网站所有的文件。如果还不理解的话,可以这么理解一下意思,比如说 大家找人PS一张图片,别人把P好的图发给你,这时你可以用这张图片,也满足了你需求,你也可以使用它。一般公司不懂的 到这一步,就完事儿了。但是这时会有一个问题,假如说,偶想自己修改这个图片行不行?明显是不行的,因为你没有源文件,给你的那张图,是源文件生成出来的。放到做网站上就是,网站你可以用,但是源码在偶这里。你要修改,还是得需要经过偶这边。讲到这里,也就明白了,源码是一个统称,一般来讲包含、网站程序和数据库文件。如果你是找别人做的网站,签合同之前,一定要说明这一点,会不会交付源码,有没有额外的需求,因为不交付源码,相当于这个站你只有使用权,而没有所有权。再细一点讲,源码包含 网站程序(程序代码文件与数据库)、模板文件、域名、再细还有静态文件比如说网站的图片、视频、音乐这些是可以单独存放在另一个地方的。再细的还有,模板授权、用wordpress建网站,通常会有这样的一个问题,如果是定制站就不用说了,如果对方买的是一个模板的授权,还需要问明白,这个授权的权限,可以授权几个域名使用,几个人使用、使用权限,部份还会有子域名需不需要授权。目前国家对版权比较重视,大部份网站程序也需要授权了,比如说 前段时间闹的比较火的织梦CMS突然要收版权费,搞的很多公司措手不及。说到这里,大家再来理一下,一个网站需要哪些?上图可能用手机看不太清楚,所以下面用文字来表述一下。域名网站在互联网上的一个地址,可以理解为门牌号,具有唯一性。阿里腾讯等,都可以注册,一年费用大约为50-70元。有些更便宜,有些更贵。注册的地方很多。程序文件用来实现网站某种功能的计算机语言文本,也是一个网站最重要的部份。比如说DESTOON网站程序、织梦程序、wordpress程序。数据库通常和网站程序统称为XXX网站系统,配合程序文件使用,用来存放网站数据。你可以简单理解为 一系列EXCEL表格样式的内容文件。静态文件网站在使用中产生的音频、视频、图片、等其它的文件格式。如果总量不是太大的话,一般会包含在程序文件或者模板文件内。如果比较大,一般会考虑与程序文件分开存储。模板文件为实现网站样式的一系列代码文件。如果把程序和数据库比喻为汽车的主架构的话,那么模板就相当于网站的外壳、内饰等。程序插件一般是作为网站主程序功能的补充,比如说织梦、wordpress等,网站程序本身不带一些功能,二次开发又没有必要,可以通过市场上已经成熟的插件来实现。其它细节程序授权、模板授权、插件授权一般提供的网站程序 都会把模板、数据库、程序打成一个包,用来体验或者试用。不满意,可以自行修改。讲到这里,偶再来回答一下楼主的另一个问题“本来想做一个小网站玩一玩,可是网上没有偶想要的源码,但是要定制一个又好贵,偶想做一个有个性的网站,可是有了空间和域名没有合适的网站源码好郁闷,源码之家等各地方都找遍了,都没有偶想要的源码”这里有几点建议。一、先明白,楼主要建什么网站,比如说B2B电商,建议用DESTOON网站程序、主流B2B建站程序,而且经过发展,只要技术、资讯、图片、下载、招商加盟、电商都能满足,适合大型网站。企业站、博客站、建议用国外的wordpress(无需授权),世界使用量第一。(国内访问除了有点点慢,其它的都很强大,而且能满足大部份小型网站的需求,还有一点的是,如果无论国内还是国外的模板都很多,好一些的就是有点贵,通常不过千。更换也比较简单。国内适合小型网站的有迅睿(无需授权)、易优(需授权,但便宜)、ZBlog(需授权,但是没有人管。)帝国、千万别用织梦。论坛类型的网站,首推国内的Discuz(无需授权)。其它的像有百科程序、直播程序、CRM程序、C2C商城、文库等。需要注意的一点是,程序是核心,模板是表皮,外人只能看到表皮,所以虽然像前面介绍的DESTOOON、讯睿、wordpress、帝国等有专属标签,但你依然可以改为各种样式。比如说教育类型、下载类型、小说类型的等等。只是 如果不是对应的程序,虽然可以改,但用起来不是那么顺手。二,要不要定制强烈建议不要定制,比如说偶,规划最多、投入最多的一个网站,当初计划投入20-30万来定制,最后发现 用一个现成的网站程序就完全解决偶的问题了,只是之前不懂。从另一点来讲,一个网站有没有价值,不是说你网站做的有多好看,功能有多么的强大,而是看你网站的流量有多少,能有多少人去使用,其它一切都是白扯。举例一点来说,你仿个百度、仿个头条、甚至仿个微信 也不需要多少成本,或者说远远低于他们现在维护的成本,甚至可以说 比他们做的更好,但是那又怎么样,没有人用呀。三、如何开始,目前为止,偶做了差不多有大、中、小型网站有几十个站了,不算多,但是体会就是,如果自己玩,那就凑合着用。如果想深入投入,那就按照步骤、先勉强能用-再能用-再到好用-再到好用又好看。如果是小型网站,那就无所谓了。定制一个也没有多少钱。最后讲一下模板站与定制站的区别这一定 可能不专业的人都会有一个误解。而专业的人又都约定成俗。比如说定制一个普通企业站、费用大约为1万-2万之间。而一个模板站 费用大约为600-1500之间。其它还有全定制、半定制等。但一定要明白一下,几万块钱的站,是不可能有纯定制站的。这里说的纯定制站,是指从网站程序到网站源码 完全自主开发的定制。一般人做网站 最容易误解的就是“你按照偶设计的,给偶把这个网站样式做出来。”而这个样式就是在指模板。充其量 就是原有的网站程序不能实现你说的功能,偶在原有的网站程序进行二开,把功能做出来。因为 如果一个网站程序从头到尾完全自主开发,那个费用,没有几十万是下来的。况且 如果不懂,那就更玩完了,怎么给你做的,你都不会知道。题外篇,其实楼主不应该买一个虚拟空间,因为这样的话,一般只能存放一个网站。如果买一台服务器,那就好玩了,安装一个宝塔面板,后台提供的有几十种网站程序可以一键式部署。下附个不完全截图。
