网站备份展开的渗透

新年快乐!!!终于放假了  加油!打工人!

怎么获取网站备份?

1.使用目录扫描器

扫描出

bakcup.rar

back.rar

back.tar.gz

back.zip

即为备份压缩包

2.网站备份专业扫描

www.baidu.com.rar

www.baidu.com.zip

 

3.根据其他漏洞

目录遍历漏洞

4.网站备份有什么用?

获取到⽹站之前某个时间段的源码

在⼀定情况下，有能者可深度审计代码；代码审计能⼒不⾜可找⼀些其他性漏洞。

深度审计可先审计注⼊、上传⻚⾯情况，再审计垂直越权、代码（命令）执⾏等漏洞。

寻找⽹站配置⽂件 -->尝试连接数据库 -->获取⽹站后台密码 -->>udf提权

找到后台登录 -->尝试弱口令/根据已有信息整理出字典进爆破

查找其他可访问到的功能经⾏拿shell操作，如：上传⻚⾯可直接访问（未授权访问），存在sql执⾏⻚⾯并可直

接访问（未授权访问）等。

寻找⼀些⽹站系统说明⽂件或其他存在密码的⽂件，有可能直接登录⽹站后台或登录到其他系统。

同⾏留下的shell