测试环境:Windows xp 系统
什么叫旁注旁注:顾名思义就是从旁注入,也就是利用主机上面的一个虚拟站点进行渗透,
得到我们所要得到一个重要关节
webshell之后,
再利用主机的开放的程序以及一些非
安全设置进行的跨站式入侵方法。
比如你要入侵A网站,但是在A网站上找不到
漏洞!你可以选择和A网站同一
服务器下的B网站,C网站寻找漏洞。
上传漏洞也好,SQL注入也好,拿到webshell后提升权限,在
服务器上找到A网站的目录。。
旁注的过程:
1.利用工具攻击你的的目标资料,得到关于网站的域名
注册信息以及主机是否是虚拟主机的确定,
因为这样子才可以从旁注入。
2.看
服务器上面的所有网站程序,要理解熟悉每个程序的编写以及程序的功能(可以整天去源码站看源码,
这样子你就会懂得如何去分别程序了)
3.利用现在所流行的所有漏洞来得到webshell
4.查看主机所开放的系统服务(这个办法是为了得到我们所要得到目标网站的路径)
例如:Serv-u的用户配置文件(不是用来提升权限)IIS的用户配置文件(会泄漏大量用户路径的)
杀毒
软件的LOG(这个可是可遇不可求的)
5.在尽量不接触网站
服务器的Admin权限下入侵(为了避免造成不必要的麻烦))
6.建议使用两只以上的木马
