当前位置: 首页 > 教程 > 渗透测试 >

攻击网站

精华
小牛编辑
181浏览
2023-03-14

在本节中,我们将讨论如何攻击网站。对于攻击网站,我们有两种方法:

  • 我们可以使用攻击迄今为止学到的网站方法的方法。因为我们知道网站安装在计算机上,所以可以像其他任何计算机一样尝试攻击和破解它。但是,我们知道网站安装在计算机上,可以像其他计算机一样尝试攻击和破解它。还可以使用服务器端攻击来查看安装了哪个操作系统,Web服务器或其他应用程序。如果发现了漏洞,我们可以使用它们中的任何一个来访问计算机。

  • 另一种攻击方式是客户端攻击。因为网站是由人类管理和维护的。这意味着,如果我们设法破解网站的任何管理员,可能会获得他们的用户名和密码,并从那里登录到他们的管理面板或安全套接字Shell(SSH)。然后,我们将能够访问他们用于管理网站的任何服务器。

如果这两种方法都失败了,我们可以尝试测试Web应用程序,因为它只是安装在该网站上的应用程序。因此,攻击目标可能不是Web应用程序,也许我们的目标只是使用该网站的人,但其计算机无法访问。我们可以访问该网站,侵入该网站,然后从那里转到我们的目标人。

所有设备和应用程序都是互连的,我们可以利用其中一个设备和应用程序,然后转到另一台计算机或另一个地方。在本节中,我们将学习如何测试Web应用程序本身的安全性,而不是关注客户端和服务器端攻击。

我们将使用Metasploitable机器作为目标机器,如果运行ifconfig命令,我们将看到它的IP是10.0.2.4,如下面的屏幕截图所示:

如果我们查看/var/www文件夹,可以看到存储的所有网站文件,如以下屏幕截图所示:

在上面的截图中,我们可以看到有phpinfo.php页面,还有dvwa,mutillidae和phpMyAdmin。现在,如果我们在同一网络上的任何机器,并尝试打开浏览器并转到10.0.2.4,我们将看到有一个为Metasploitable制作的网站,如给定的屏幕截图所示。网站只是安装在Web浏览器上的应用程序,可以访问任何Metasploitable网站并使用它们来测试其安全性:

现在我们来看看DVWA页面。它需要用户名为admin,密码为password才能登录。一旦我们输入这些凭据,我们就可以登录到它,如下面的屏幕截图所示:

登录后,可以使用DVWA Security选项卡修改安全设置,如以下屏幕截图所示:

DVWA Security选项卡下,我们将Script Security设置为low并单击Submit

我们在接下来的部分将其设置为low。因为这只是一个入门课程,我们只讨论在DVWA和Mutilliidae Web应用程序中发现Web应用程序漏洞的基本方法。

如果以与访问DVWA Web应用程序相同的方式访问Mutillidae Web应用程序,应确保将Security Level设置为0,如以下屏幕截图所示:

我们可以通过单击页面上的“Toggle Security”选项来切换安全级别: