【IT168 专稿】目前中国互联网安全事件层出不穷，每天都有众多网站被黑客入侵破坏。为了提高网站管理者的攻防能力，前不久由IT168网络安全频道、IXPUB.Net技术论坛主办，北京华安普特网络科技有限公司协办的“IT168网络安全大奖赛”正式开幕。本次大奖赛通过搭建真实环境，在专有服务器上模拟类似安全问题，让网友进行攻防演练，从而达到提高网站管理者的攻防能力和安全意识的目的。大赛同时向广大网友征集相关安全问题解决方案。作为一名网站管理者和网络安全爱好者，我个人认为此次活动出发点非常好，而且模拟网站搭建的也很有学问，既不是漏洞百出、不堪一击，也不是象众多网友所说的“很BT”、“数据库连读写权限都没有”，模拟网站设计者还是在网站的一些地方留下了一些致命的漏洞，但要找到这些漏洞也并非易事，需要我们不停的尝试，整个入侵过程就如同我们看美剧“越狱”一样，永远不知道接下来会遇到什么困难。下面我们就结合http://down.ixpub.net/safe/wmv/hackgame_001.wmv这段视频，讲解一下入侵者是如何得到模拟网站的WebShell权限，以及网站管理者该如何防范黑客入侵。

    入侵者首先使用SQL注入工具“啊D”对网站进行了扫描，通过得到的注入点，获得了经过MD5加密的网站后台管理员用户名和密码，经过解密得到了明文的管理员用户名和密码，然后登录后台管理程序，上传一句话木马，得到WebShell权限（如图1所示），找到指定的文件。

图1