How Hackers Target and Hack Your Site 是一篇非常棒入侵的标准教程

撸一下思路

1.确定目标

hack-test.com 这网站还能玩小游戏…

2.信息收集

IP查询 同IP网站 WHOIS查询 站长之家

web应用指纹识别 使用Nmap

-sV 应用程序版本 -O 系统指纹 -A 上述两项

3.漏洞扫描

企业级扫描器 Acunetix webvulnerabilityscanner8

注入检测 sqlmap

4.渗透提权

步骤如下

进谷歌 找注入 没注入 就旁注

没旁注 用Oday 没Oday 猜目录

没目录 就嗅探 爆账户 找后台

传小马 放大马 拿权限 挂页面

放暗链 清数据 清日志 留后门

文章里是这样的

(1)注入获得用户名和密码

(2)解开md5

(3)通过wp插件写入一句话 上传大马

(4)反向连接 获得执行命令行权限 执行linux命令

ld - 获得用户名和用户组

pwd - 获得当前路径

uname -a 获得系统版本信息

(5)exploit-db寻找提权脚本

(6)执行提权脚本 获得root

(7)留下后门 远程控制