近年來，網站被黑、數據丢失的新聞報道屢見報端，在這些新聞的背後調查發現，來完成這些“不可思議”事情的不一(yī)定是多麽牛的黑客，而是僅僅對計算機技術略有了解的非技術牛人，甚至是中(zhōng)小(xiǎo)學生(shēng)，在信息發展給我(wǒ)(wǒ)們的生(shēng)活帶來便捷的時候，也是黑客技術變得越來越平民化。

接下(xià)小(xiǎo)編将通過實際的操作，來帶領大(dà)家看看，現在所謂的滲透技術到底有多麽的簡單。目的:滲透到web服務器 （爲了某些原因，怕被和諧，僅滲透進去(qù)即可，後續事情自行腦補）

示意拓撲圖

突然想到了個經典的腦筋急轉彎，把大(dà)象放(fàng)進冰箱需要幾步？ 三步【打開(kāi)冰箱，放(fàng)進大(dà)象，關上冰箱】。 其實攻破服務器隻有簡單的三步，【加入IP、掃描、自動攻擊】，不需要編程、不需要敲代碼，隻需要點擊幾下(xià)鼠标即可，不信請看！

1、 加入IP；打開(kāi)kail 内的Armitage，添加web站點的IP。

2、 掃描

3、 自動攻擊

完成。

l sysinfo查看系統信息，系統爲32位2003系統

l netstat進一(yī)步查看開(kāi)放(fàng)的服務。

l shell獲取控制

已經到這一(yī)步了，獲得權限、添加賬号、上下(xià)載文件（程序）都是可以的，也就是說先幹什麽就可以幹什麽了。找到web目錄内的數據庫賬号信息，即可連接到後台數據庫，竊取數據庫僅是幾下(xià)鼠标，幾條命令而已。

本次攻擊主要利用了Metasploit攻擊，Metasploit是一(yī)個免費(fèi)的、可下(xià)載的框架，通過它可以很容易地獲取、開(kāi)發并對計算機軟件漏洞實施攻擊。它本身附帶數百個已知(zhī)軟件漏洞的專業級漏洞攻擊工(gōng)具。集成了各平台上常見的溢出漏洞和流行的 shellcode ，并且不斷更新。最新版本的 MSF 包含了1476多種流行的操作系統及應用軟件的漏洞，以及470多個 shellcode 。也就是說可以對任何版本的系統進行攻擊，僅有難以度的差異而已。

這兩年Windows Server 2003停止提供服務、SQLserver 2005緊随其後。試想有多少企業的影響還在使用Windows Server 系統和SQLserver 數據庫，停止提供服務意味着越來越多的系統漏洞将被輕而易舉的利用，即使Windows Server 2008及後續産品的“零日漏洞”也讓人頭疼，企業數據安全将接受越來越大(dà)的挑戰。傳統的安全建設無法滿足數據庫安全的防護,造成了“衆人守城、無人看庫”的情景。

爲了應對黑客技術平民化的挑戰，保證數據庫的安全，帕拉迪推出系列數據庫防火(huǒ)牆NGDAP（包括網絡防火(huǒ)牆），解決數據庫業務不同層面的網絡安全問題，可對業務中(zhōng)對已知(zhī)和未知(zhī)威脅高效、及時、精準的預警和阻斷。在數據庫外(wài)圍搭設一(yī)道防線，将數據庫的安全問題實現“禦敵于國門之外(wài)”，爲企業機構業務安全撐起“保護傘”。