拿站的原理很简单,就是找漏洞,从漏洞着手侵入,至于漏洞则是多方面的,操作系统的,数据库系统的,WEB程序系统的... 想办法上传木马webshell,然后通过木马可以提升权限,控制主机,一般都是通过两个方面入侵的
1.构造非法的sql语句入侵数据库
这种方法都是变量过滤不严,有的页面的sql语句是使用取得的变量构造的,通过非法的变量可能使该sql语句执行不该执行的功能,例如取得管理员密码,通过管理后台上传木马文件,或者是mssql数据库的权限,mssql权限做的不好的话可能会等同系统的system权限,危害更大。
2.通过上传漏洞上传非法文件(木马)
有一些上传组件过滤不严格,造成用户可以绕过限制上传木马文件,达到入侵网站的目的。无论asp、php、还是jsp都可能有这方面的问题,所以写程序的时候一定要做好变量和权限的处理。
