黑基网 首页 学院 电脑技术 查看内容

利用黑客思维使用FTP文件搜索引擎

2017-9-10 00:23| 投稿: xiaotiger |来自: 互联网

摘要: 目录浏览漏洞的产生是由于服务器没有配置而导致的,利用谷歌能搜索出这样的网站,然后攻击。用过这项技术的朋友应该都会发现,搜索到的很多网站权限最高的也就是把数据库下载下来,而对于服务器端的脚本文件是无法下 ...

目录浏览漏洞的产生是由于服务器没有配置而导致的,利用谷歌能搜索出这样的网站,然后攻击。用过这项技术的朋友应该都会发现,搜索到的很多网站权限最高的也就是把数据库下载下来,而对于服务器端的脚本文件是无法下载的,而且打开以后是空白,源代码,也无法看到,当然网站的体系结构也可以探测到,这对于我们得到webslishell来说是非常的容易,但是离最高权限还是有一定的距离。

其实我们可以利用FTP搜索引擎就可以找到大量提供FTP功能的网站,如果服务器不在线,就会提示离线,我如果需要用户名及密码,就会提示需要账号,快照一般来说是可以直接进入的,不过也有可能由于各种原因会登陆不了。

随便打开一个IP地址,成功的进入了对方的服务器了,而且这样说出来的服务器要比使用目录浏览搜索出来的网站大很多,目录浏览搜索得来的并没有进入对方的服务器,而利用FTP搜索是直接进入服务器,上面的所有文件是可以下载的。

搜索这样的服务器也需要关键字,而关键字是需要自己构造的。我们都知道一般服务器时会安装第三方软件,所以可以搜索第三方软件来查找特定的服务器。

我们来搜索数据库连接文件。

我们来搜索数据库连接文件,看看效果,一样可以得到非常多的服务器。

我们可以搜索Pcanywhere,在得到了安装Pcanywhere五,软件的服务器之后,就可以访问硬盘内的cif文件,把它下载下来,就得到了管理员的密码,我还可以搜索Serv-U,然后通过修改它的ini文件,然后加上具有执行权限的用户,之后FTP连接上提升权限就可以了。

利用FTP文件搜索引擎得到的是服务器,我用谷歌搜索出来的是网站,所以FTP搜索权限要大得多,在我们进入服务器之后,不仅可以查看运行在该服务器上的网站的任何东西,而且还可以得到其他的一些敏感信息,更为严重的是,那些文件都可以下载,这样就可以不用得到webslishell了,而是直接进入服务器把第三方敏感文件下载下来,然后连接该服务器就可以了,当然最高权限也就可唾手可得了。

黑客技术小贴士:想不想在系统时间的位置显示自己的名字或者个性的话呢?如果你喜欢这样的话,可以在控制版面里找到区域和语言选项,单机去学校中的自定义,切换到时间选项卡中,把时间格式改为tt h:mm:ss,然后把上午和下午都改为自己喜欢的文字,并且确定就可以了。

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:http://www.toutiao.com/a6463757793567441421/

免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论


新出炉

返回顶部