Как уже напечатал
Изучай разные отрасли программирования
(1.смотря какой сайт ты хочеш взломать и начём он написан на PHP или HTML в перемешку с чемто...)
2.надо взять скачать книжку с Интернета или купить и почитать.
3.это не так легко как кажится взломать сайт или сервер (сайт можно ещё подумать как взломать сервера
это кажится посложней идёт в помощ тебе google.ru или другие поисковики. Статья
Нередко встречаются в сети, на разных форумах, истории, где юные "хакеры" хвастаются о том, как они взломали очередной сервер.
Чаще всего, такие сказки вызывают улыбку, поскольку взлом сервера описываемыми методами давным-давно практически невозможен... Но сервера взламывают и сейчас, а значит есть методы - методы о которых пойдет речь в данной статье.
Данная статья не будет для вас учебным пособием по взлому серверов. Предоставленная здесь информация полезна скорее для защиты как сайта, так и сервера, однако используя эту информацию можно не только защитить, но и взломать сервер.
Опять же, не ждите точных инструкций - информация представлена в довольно сжатом виде и больше для общей, так-сказать, эрудиции.
Существует множество путей для взлома, и выбор конкретного пути скорее зависит от цели.
Здесь будет рассмотрено всего лишь несколько примеров из большого количества вариантов.
Вариант первый - если нужен любой хостинговый аккаунт.
Наиболее часто, такие варианты используются для спама или для других нелегальных действий с чужого сервера.
Самое простое, что можно сделать - найти недавно появившийся мелкий хостинг с Cpanel.
Почему недавно появившийся и мелкий - всё банально просто, есть шанс что админ не достаточно опытный и не закрыл дыру, которая буквально несколько месяцев назад была открыта чуть-ли не на любом существующем хостинге.
Дыра заключается в демо-аккаунте Cpanel.
Если хостер предоставляет демо-доступ к своей Cpanel, то используя логин и пароль для демо-логина в панель, вы соединяетесь с FTP-сервером хостера.
Если авторизироваться удалось - полдела сделано.
Далее вы заливаете любой свой php-скрипт в папку /public_html/.
Если и это получилось, то осталось последнее - запустить скрипт.
Для этого набираете домен хостера/~демо-логин/название вашего скрипта.
Например, для хостера hoster.tu, демо-логина demo и скрипта script.php, это будет выглядеть так
http://hoster.tu/~demo/script.php
Если скрипт запустился - аккаунт в вашем распоряжении, можете делать с ним что захотите...
Автор данной статьи именно таким образом "взломал" сервер одного из знакомых достаточно крупных хостинг-провайдеров, но только с целью выявить эту уязвимость и сообщить о ней администратору сервера.
Закрыть эту дыру достаточно просто, для этого существует несколько вариантов.
1. Использовать "псевдо-панель", т.е. скопировать страницу Cpanel, удалить из неё все ссылки и выставить на сайте в качестве образца.
2. Запретить на сервере просмотр содержимого других пользователей через конструкцию /~пользователь
3. Самый грамотный на мой взгляд - запретить авторизацию через FTP для демо-аккаунта.
Другой способ получения хостингового аккаунта, самый "прибыльный" и самый эффективный - это распространение "модифицированных скриптов". От этого способа, пожалуй, нет хорошей защиты.
Идея в том, что вы берете известные, широко распространяемые скрипты и модифицируете их код таким образом, что бы через любую установленную копию модифицированного скрипта, можно было загрузить на сервер собственные файлы.
Для этого добавляется обычно всего две функции:
первая - после установки, скрипт должен сообщить вам адрес, на который он установлен
вторая - при вводе определенного GET-запроса, скрипт должен скопировать указанный вами в GET-запросе файл на сервер (в качестве файла может использоваться ваш php-скрипт).
Модифицированный скрипт можно распространять в Интернет и при грамотном распространении, уже через пару месяцев, в вашем распоряжении будет немалое количество "ваших" серверов, с правами на уровне скриптов отдельного аккаунта.
Защититься от этого на 100% можно только используя самописные скрипты, либо пользуясь только популярными известными скриптами и скачивая их только с официальных сайтов.
Существует множество других способов получения "случайных" хостинговых аккаунтов. Рассмотрены здесь они не будут, поскольку автор не ставил своей целью создать эдакое учебное пособие "Как взломать сервер", а попытался лишь показать, насколько неочевидными и простыми могут быть пути и как далеки они от легендарных взломов "брутофорсом".
Эффективность как защиты, так и нападения зависит исключительно от умения нестандартно мыслить.
В этой статье мы рассматривали методы взлома неконкретных ("случайных") серверов, с получением доступа на уровне пользователей
В следующей статье, речь пойдет о том, как взломать конкретный сервер - о методах взлома и защиты конкретных сетевых целей.
