近年来，网站被黑、数据丢失的新闻报道屡见报端，在这些新闻的背后调查发现，来完成这些“不可思议”事情的不一定是多么牛的黑客，而是仅仅对计算机技术略有了解的非技术牛人，甚至是中小学生，在信息发展给我们的生活带来便捷的时候，也是黑客技术变得越来越平民化。

接下小编将通过实际的操作，来带领大家看看，现在所谓的渗透技术到底有多么的简单。目的:渗透到web服务器 （为了某些原因，怕被和谐，仅渗透进去即可，后续事情自行脑补）

示意拓扑图

突然想到了个经典的脑筋急转弯，把大象放进冰箱需要几步？ 三步【打开冰箱，放进大象，关上冰箱】。 其实攻破服务器只有简单的三步，【加入IP、扫描、自动攻击】，不需要编程、不需要敲代码，只需要点击几下鼠标即可，不信请看！

1、 加入IP；打开kail 内的Armitage，添加web站点的IP。

2、 扫描

3、 自动攻击

完成。

l sysinfo查看系统信息，系统为32位2003系统

l netstat进一步查看开放的服务。

l shell获取控制

已经到这一步了，获得权限、添加账号、上下载文件（程序）都是可以的，也就是说先干什么就可以干什么了。找到web目录内的数据库账号信息，即可连接到后台数据库，窃取数据库仅是几下鼠标，几条命令而已。

本次攻击主要利用了Metasploit攻击，Metasploit是一个免费的、可下载的框架，通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。它本身附带数百个已知软件漏洞的专业级漏洞攻击工具。集成了各平台上常见的溢出漏洞和流行的 shellcode ，并且不断更新。最新版本的 MSF 包含了1476多种流行的操作系统及应用软件的漏洞，以及470多个 shellcode 。也就是说可以对任何版本的系统进行攻击，仅有难以度的差异而已。

这两年Windows Server 2003停止提供服务、SQLserver 2005紧随其后。试想有多少企业的影响还在使用Windows Server 系统和SQLserver 数据库，停止提供服务意味着越来越多的系统漏洞将被轻而易举的利用，即使Windows Server 2008及后续产品的“零日漏洞”也让人头疼，企业数据安全将接受越来越大的挑战。传统的安全建设无法满足数据库安全的防护,造成了“众人守城、无人看库”的情景。

为了应对黑客技术平民化的挑战，保证数据库的安全，帕拉迪推出系列数据库防火墙NGDAP（包括网络防火墙），解决数据库业务不同层面的网络安全问题，可对业务中对已知和未知威胁高效、及时、精准的预警和阻断。在数据库外围搭设一道防线，将数据库的安全问题实现“御敌于国门之外”，为企业机构业务安全撑起“保护伞”。