本文目录一览:
- 1、高分求:网站后台管理员权限如何设置?
- 2、入侵网站需要什么步骤
- 3、如何入侵网站主机,拿最高权限!
- 4、学习入侵网站需要什么基本知识?
- 5、怎样可以侵入进入网页管理页面?((详细的))
- 6、如何入侵网站 得到管理员权利?
高分求:网站后台管理员权限如何设置?
首先在数据库里把管理员权限设置两个.
一个:超级管理员
一个:管理员
然后,后台是一个窗口两个页面,超级管理员进的是一个页面,管理员进另一个页面
请问应该用什么代码!
问题补充:
我的数据库用的是ACCECC
我的库表是:表示等级的是:lovel
我需要在登陆点处写一段代码让它自动判断身份,根具不同的身份登陆不同的页面
你们回答问题时把QQ留下,好让我给你们讨论一下你们回答的是不是我想要的. 2008-08-26 21:47
页面:
%@language=vbscript codepage=936 %
!--#include file="Conn.asp"--
!--#include file="../Inc/Config.asp"--
!--#include file="inc/md5.asp"--
%
dim sql,rs
dim username,password,CheckCode
username=replace(trim(request("username")),"'","")
password=replace(trim(Request("password")),"'","")
CheckCode=replace(trim(Request("CheckCode")),"'","")
if UserName="" then
FoundErr=True
ErrMsg=ErrMsg "brli用户名不能为空!/li"
end if
if Password="" then
FoundErr=True
ErrMsg=ErrMsg "brli密码不能为空!/li"
end if
if CheckCode="" then
FoundErr=True
ErrMsg=ErrMsg "brli验证码不能为空!/li"
end if
if session("CheckCode")="" then
FoundErr=True
ErrMsg=ErrMsg "brli你登录时间过长,请重新返回登录页面进行登录。/li"
end if
if CheckCodeCStr(session("CheckCode")) then
FoundErr=True
ErrMsg=ErrMsg "brli您输入的确认码和系统产生的不一致,请重新输入。/li"
end if
if FoundErrTrue then
password=md5(password)
set rs=server.createobject("adodb.recordset")
sql="select * from Admin where password='"password"' and username='"username"'"
rs.open sql,conn,1,3
if rs.bof and rs.eof then
FoundErr=True
ErrMsg=ErrMsg "brli用户名或密码错误!!!/li"
else
if passwordrs("password") then
FoundErr=True
ErrMsg=ErrMsg "brli用户名或密码错误!!!/li"
else
RndPassword=GetRndPassword(16)
rs("LastLoginIP")=Request.ServerVariables("REMOTE_ADDR")
rs("LastLoginTime")=now()
rs("LoginTimes")=rs("LoginTimes")+1
rs("RndPassword")=RndPassword
rs.update
session.Timeout=SessionTimeout
session("AdminName")=rs("username")
session("AdminPassword")=rs("Password")
session("RndPassword")=RndPassword
rs.close
set rs=nothing
call CloseConn()
Response.Redirect "default.asp"
end if
end if
rs.close
set rs=nothing
end if
if FoundErr=True then
call WriteErrMsg() 2008-08-26 21:55
入侵网站需要什么步骤
嗯....不知道你要干什么,希望你不要干坏事。
第一步:情报收集与分析
用扫面器或者人工的对服务器的状态进行探知,获得以下信息: 服务器类型(大致分为windows服务器和linux服务器)、服务器版本、服务器的网络布局(自己与网站服务器的相对网络位置,是否有防火墙,不过现在的服务器一般都在防火墙后面)、服务器上开启的端口号、服务器上运行的服务及其版本、网站的网页脚本类型、脚本版本等等。最后根据以上信息判断该服务器可能存在的漏洞,这将是下一步的基础。
第二步:攻击开始
根据上一步收集到的漏洞信息开始对网站服务器发动攻击。一般是登陆服务器上开启的服务并猜测该服务的密码(弱口令攻击,现在基本失效)如果猜对便可以根据服务获得相应的服务器操作权限,如果运气好,这里就可以直接拿下服务器。或者根据服务器上运行的服务所存在的溢出漏洞进行溢出攻击(不过,溢出漏洞并不好找)。或者跟据网页脚本上的漏洞进行网页渗透。
第二步的主要目的就是为了获得一个可以在目标服务器上执行一定命令的权限,这也是最难的一步。
第三步:权限提升
如果只是为了从服务器上拿些东西,或者修改服务器上的一些文件,利用第二步获得权限可能已经足够,但是如果遇到细心的管理员进行了严格的权限管理,或者想完全控制服务器还需要提权操作。也就是利用第二步获得的权限获得跟高的服务器使用权限的操纵。其实现方法根据不同的入侵路径,会很多。这里只提一下大概思路,windows服务器:获得服务器系统盘的读写权(有时可以跳过)、获得system权限、建立自己的隐藏管理员用户、留下后门或木马。linux:获得root权限、留下后门。
最后就是清理自己的脚步,删除或者修改服务器上的日志文件,不然管理员会很容易察觉到被入侵。
网站入侵的形式其实很多,上面只是较为常用的形式而已。其他的还有 中间人攻击 社会工程学攻击等等。
以上只是个人的见解,希望能帮到你......
如何入侵网站主机,拿最高权限!
拿到最高权限的步骤.
1、入侵检测
2、拿下WEBSHELL
3、权限查看
4、提权
5、查看是否开放终端。有的话添加管理员。连接终端。拿到最高权限。
一般如果检测自己的服务器的话。可以把权限弄小一点。那样要是一些人入侵你网站。拿到WEBSHELL也不能提权。拿到更高的权限。
学习入侵网站需要什么基本知识?
我的空间 主页|模块平台博客|写新文章相册|上传照片好友|找新朋友档案|留言板jonyoo 0 | 我的消息(0/2) | 我的空间 | 百度首页 | 百度空间 | 退出 思想之路人不停的长大,路不停的伸向远方,借百度之空间记录我思想的历程,不管思想怎样,这里所记录的都是真实自我的反映.我爱这片园地,因为他是一面镜子,照我前行! 主页博客相册|个人档案 |好友 查看文章
学习网站入侵基本知识(转)2007-06-07 15:20首先介绍下什么样的站点可以入侵:必须是动态的网站,比如asp、php、jsp 这种形式的站点。后缀为.htm的站点劝大家还是不要入侵了吧(入侵几率几乎为0)。
入侵介绍: 1 上传漏洞;2 暴库;3 注入;4 旁注;5 COOKIE诈骗。
1 上传漏洞,这个漏洞在DVBBS6.0时代被黑客们利用的最为猖獗,利用上传漏洞可以直接得到WEBSHELL,危害等级超级高,现在的入侵中上传漏洞也是常见的漏洞。
怎样利用:在网站的地址栏中网址后加上/upfile.asp如果显示 上传格式不正确[重新上传] 这样的字样8成就是有长传漏洞了找个可以上传的工具直接可以得到WEBSHELL。
工具介绍:上传工具,老兵的上传工具、DOMAIN3.5,这两个软件都可以达到上传的目的,用NC也可以提交。
WEBSHELL是什么:WEBSHELL在上节课简单的介绍了下,许多人都不理解,这里就详细讲下,其实WEBSHELL并不什么深奥的东西,是个WEB的权限,可以管理WEB,修改主页内容等权限,但是并没有什么特别高的权限,(这个看管理员的设置了)一般修改别人主页大多都需要这个权限,接触过WEB木马的朋友可能知道(比如老兵的站长助手就是WEB木马 海阳2006也是 WEB木马)我们上传漏洞最终传的就是这个东西,有时碰到权限设置不好的服务器可以通过WEBSHELL得到最高权限。
2 暴库:这个漏洞现在很少见了,但是还有许多站点有这个漏洞可以利用,暴库就是提交字符得到数据库文件,得到了数据库文件我们就直接有了站点的前台或者后台的权限了。
暴库方法:比如一个站的地址为 ;ID=161,我门就可以把com/dispbbs中间的/换成%5c,如果有漏洞直接得到数据库的绝对路径,用寻雷什么的下载下来就可以了。还有种方法就是利用默认的数据库路径后面加上conn.asp。如果没有修改默认的数据库路径也可以得到数据库的路径(注意:这里的/也要换成%5c)。
为什么换成%5c:因为在ASCII码里/等于%5c,有时碰到数据库名字为/#abc.mdb的为什么下不了? 这里需要把#号换成%23就可以下载了,为什么我暴出的数据库文件是以。ASP结尾的?我该怎么办?这里可以在下载时把.ASP换成.MDB 这样就可以下载了如果还下载不了可能作了防下载。
3 注入漏洞:这个漏洞是现在应用最广泛,杀伤力也很大的漏洞,可以说微软的官方网站也存在着注入漏洞。注入漏洞是因为字符过滤不严禁所造成的,可以得到管理员的帐号密码等相关资料。
怎样利用:我先介绍下怎样找漏洞比如这个网址 ;ID=161 后面是以ID=数字形式结尾的站我们可以手动在后面加上个 and 1=1 看看 如果显示正常页面再加上个and 1=2 来看看 如果返回正常页面说明没有漏洞 如果返回错误页面说明存在注入漏洞。如果加and 1=1 返回错误页面说明也没有漏洞,知道了站点有没有漏洞我门就可以利用了 可以手工来猜解也可以用工具现在工具比较多(NBSI NDSI 啊D DOMAIN等)都可以用来猜解帐号密码,因为是菜鸟接触,我还是建议大家用工具,手工比较烦琐。
4 旁注:我们入侵某站时可能这个站坚固的无懈可击,我们可以找下和这个站同一服务器的站点,然后在利用这个站点用提权,嗅探等方法来入侵我们要入侵的站点。打个形象的比喻,比如你和我一个楼,我家很安全,而你家呢,却漏洞百出,现在有个贼想入侵我家,他对我家做了监视(也就是扫描)发现没有什么可以利用的东西,那么这个贼发现你家和我家一个楼,你家很容易就进去了,他可以先进入你家,然后通过你家得到整个楼的钥匙(系统权限),这样就自然得到我的钥匙了,就可以进入我的家(网站)。
工具介绍:还是名小子的DOMIAN3.5不错的东西,可以检测注入,可以旁注,还可以上传!
5 COOKIE诈骗:许多人不知道什么是COOKIE,COOKIE是你上网时由网站所为你发送的值记录了你的一些资料,比如IP,姓名什么的。
怎样诈骗呢?如果我们现在已经知道了XX站管理员的站号和MD5密码了,但是破解不出来密码(MD5是加密后的一个16位的密码)我们就可以用COOKIE诈骗来实现,把自己的ID修改成管理员的,MD5密码也修改成他的,有工具可以修改COOKIE 这样就答到了COOKIE诈骗的目的,系统以为你就是管理员了。
今天的介绍就到这里了,比较基础,都是概念性的东西,所有的都是我的个人理解,如有不正确的地方希望大家指出(个人认为就是,为什么换成%5c,这里有点问题)。
怎样可以侵入进入网页管理页面?((详细的))
1.250定律 拉德认为:每一位顾客身后,大体有250名亲朋好友。如果您赢得了一位顾客的好感,就意味着赢得了250个人的好感;反之,如果你得罪了一名顾客,也就意味着得罪了250 名顾客。 在你的网站访客中,一个访客可能可以带来一群访客,任何网站都有起步和发展的过程,这个过程中此定律尤其重要。 2.达维多定律 达维多认为,一个企业要想在市场上总是占据主导地位,那么就要做到第一个开发出新产品,又第一个淘汰自己的老产品。 国内网站跟风太严重,比如前段时间的格子网,乞讨网,博客网,一个成功了,大家一拥而上。但实际效果是,第一个出名的往往最成功,所以在网站的定位上,要动自己的脑筋,不是去捡人家剩下的客户。同理,买人家出售的数据来建站效果是很糟糕的。 3.木桶定律 水桶定律是指,一只水桶能装多少水,完全取决于它最短的那块木板。这就是说任何一个组织都可能面临的一个共同问题,即构成组织的各个部分往往决定了整个组织的水平。 注意审视自己的网站,是速度最糟糕?美工最糟糕?宣传最糟糕?你首先要做的,不是改进你最强的,而应该是你最薄弱的。 4.马太效应 《新约》中有这样一个故事,一个国王远行前,交给三个仆人每人一锭银子,吩咐他们:“你们去做生意,等我回来时,再来见我。”国王回来时,第一个仆人说: “主人,你交给我们的一锭银子,我已赚了10锭。”于是国王奖励他10座城邑。第二个仆人报告说:“主人,你给我的一锭银子,我已赚了5锭。” 于是国王例奖励了他5座城邑。第三个仆人报告说:“主人,你给我的一锭银子,我一直包在手巾里存着,我怕丢失,一直没有拿出来。”于是国王命令将第三个仆人的一锭银子也赏给第一个仆人,并且说:“凡是少的,就连他所有的也要夺过来。凡是多的,还要给他,叫他多多益善。”这就是马太效应。 在同类网站中,马太效应是很明显的。一个出名的社区,比一个新建的社区,更容易吸引到新客户。启示是,如果你无法把网站做大,那么你要做专。作专之后再做大就更容易。 5.手表定理 手表定理是指一个人有一只表时,可以知道现在是几点钟,而当他同时拥有两只表时却无法确定。 一个网站,你只需要关注你特定的用户群需求。不要在意不相干人的看法。 6.不值得定律 不值得定律:不值得做的事情,就不值得做好 不要过度seo,如果你不是想只做垃圾站。不要把时间浪费在美化再美化页面,优化再优化程序,在你网站能盈利后,这些事情可以交给技术人员完成。 7.彼得原理 劳伦斯.彼得认为:在各种组织中,由于习惯于对在某个等级上称职的人员进行晋升提拔,因而雇员总是趋向于晋升到其不称职的地位。 不要轻易改变自己网站的定位。如博客网想变门户,盛大想做娱乐,大家拭目以待吧。 8.零和游戏原理 当你看到两位对弈者时,你就可以说他们正在玩“零和游戏”。因为在大多数情况下, 总会有一个赢,一个输,如果我们把获胜计算为得1分,而输棋为-1分,那么,这两人得分之和就是:1+(-1)=0 不要把目光一直盯在你的竞争网站上,不要花太多时间抢它的访客。我们把这些时间用来寻找互补的合作网站,挖掘新访客。 9.华盛顿合作规律 华盛顿合作规律说的是: 一个人敷衍了事,两个人互相推诿, 三个人则永无成事之日。 如果你看准一个方向,你自己干,缺人手就招。不要轻易找同伴一起搞网站,否则你会发现,日子似乎越过越快了,事情越做越慢了。 10.邦尼人力定律 一个人一分钟可以挖一个洞,六十个人一秒种却挖不了一个洞。合作是一个问题,如何合作也是一个问题。你需要有计划。 11.牛蛙效应 把一只牛蛙放在开水锅里,牛蛙会很快跳出来;但当你把它放在冷水里,它不会跳出来,然后慢慢加热,起初牛蛙出于懒惰,不会有什么动作,当水温高到它无法忍受的时候,想出来,但已经没有了力气。 如果你是soho,注意关注你的财务。不要等到没钱了再想怎么挣,你会发现那时候挣钱更难。 12.蘑菇管理 蘑菇管理是许多组织对待初出茅庐者的一种管理方法,初学者被置于阴暗的角落(不受重视的部门,或打杂跑腿的工作),浇上一头大粪(无端的批评、指责、代人受过),任其自生自灭(得不到必要的指导和提携)。 做网站毕竟要遭遇这样的阶段,搜索引擎不理你,友情链接找不到,访客不上门。这是磨练。 13.奥卡姆剃刀定律 如无必要,勿增实体。 把网站做得简单,再简单,简单到 如果帮助到您,请记得采纳为满意答案哈,谢谢!祝您生活愉快! vae.la
满意请采纳
如何入侵网站 得到管理员权利?
,嗨 `方法N多 最重要的点看源码 `光用工具能扫出个什么 漏洞是靠自己不断挖掘的 ,Cookie 欺骗只能在论坛里用用 而且要玩大网页 靠这些没啥用`
抓和网页同一网段的肉鸡 然后sniff 这叫才艺术 最好还是从基础学起