从收垃圾邮件到入侵

ZDNet软件频道 时间:2009-11-04 作者: | 比特网 我要评论()
本文关键词:入侵防御 网络入侵 黑客入侵 垃圾邮件 Windows
 本文是黑基原创,本人邮箱lucky_feng@hotmail.com。如果您觉得写得不都是废话,需要转载,请注明作者是fengskier,版权属于黑客基地。谢谢。

  本文是黑基原创,本人邮箱lucky_feng@hotmail.com。如果您觉得写得不都是废话,需要转载,请注明作者是fengskier,版权属于黑客基地。谢谢。

  突然之间觉得自己需要做什么,刚好有这么一个机会得到这个服务器,虽然还没有成功完全获得,但也是一个经验,写出来和大家分享一下。

  前几天打开邮箱,发现垃圾箱里有个不认识的广告,(因为我的邮箱级别是设置成为高的过滤垃圾邮件,所以没有到收件箱),都叫你不要发垃圾邮件过来,你还发过来,是你自己找的哦,千万不要怪我。打开一看,呵呵,原来是一个电脑科技公司,业务包括卖电脑和网站设计等等,金士刚(有这样牌子的内存吗?应该是kingston吧) 的256M ddr2 533的内存会员价是175元,挺厚道的,不过说市场价是268就不是很厚道了,说远了。看看你的安全性吧。打开http://www.5xxanxxxo.net/voo.asp?id=870,在后边输入一个单引号,反馈回来说没有这种id的商品,过滤了单引号了。想想and 1=1和and 1=2应该也没有多大的希望了,但是还是不死心,验证了一下,不出所料,出现如图所示对话框,说还记录了我的ip。

  

  不好意思,现在使用的是鸟语系统,才会乱码,而且很多软件都不能用,所以sql注入也只能手工了。然后又测试了几个asp的页面,也都已经做了处理。其实应该还是有个页面是可以注入的了,那就是他自己提供的搜索产品的页面,这是我的估计,就不说了。

  入侵方法一

  这条路不通,就走别条呗。网站还有个论坛,一看只有5个会员,呵呵,刚建的dvbbs 7.0 sp2的,如图所示

  

Click here to open new window

  估计是刚刚建的,试试data/dvbbs7.mdb,竟然可以下载,只有1.7m,5个会员的应该就只有这么大吧。下载吧。随便顺手试试admin admin888登陆,竟然进去了。好了,老一套,上传图片(站长助手6.0),然后进后台备份数据库。但是打开备份页面的时候,提示没有这个文件哦。仔细检查了文件路径,没有错,估计被杀了。因为手头没有加密的asp木马,所以又到网上找了一个海洋的2005,上传备份,还是不行,2006也不行。天哪,那个家伙用什么杀毒软件阿(后来才知道是诺顿,诺顿什么时候可以杀站长助手了?)最后终于想到了那个号称绝对免查杀的砍客asp木马(个人喜欢用冰狐浪子的微型木马,但是现在的操作系统好像不支持)。还是一样上传备份,用http://www.kker.cn/online/cs/cs.asp连上去,几秒钟等待,成功了。如果所示。

  

  想不到防注入做得这么好,竟然被一个新挂上去的论坛害了。接下来的运气比较好了,除了c盘之外的七个盘统统开放,里面有一百多个站点,哈哈,发现里面还有很多电影,虽然我都看过了。让我更加吃惊的是,里面的software文件夹下面竟然有个hacktool的文件夹,放的有流光等工具,原来是同道中人,只是不知道这个服务器他怎么管理的。Serv-u是5.2.0.1,等下次我慢慢来提权吧。C:/program files下面竟然还有个radmin影子版,难道管理员用这个来远程控制的?sql也装好了,看来这是一台标准的让别人练习入侵的服务器阿。入侵方法一就这样结束吧。

  入侵方法二

  如果只是入侵方法一,可能会有人说我是为了混原创,所以我今天又看了看那个网站,原来还有暴库的漏洞。(ps:我就是为了混原创,哈哈,不过是不是分两篇好一点?)

  入正题,这个网站还有一个功能是类似于pconline的diy装机自动结算价格的系统(pconline的是jsp的,不懂啊)。什么都不用选择,然后点击“放入购物车“,出现http://www.5xxxxxxo.net/diy/car_show1.asp,然后替换最后一个斜杠成为%5c,就出现如图。

  

  然后下载这个asp文件,改成mdb用数据库软件察看,其中一个管理员密码是49ba59abbe56e057,不用我说是什么了吧。下面进后台,可以考虑上传文件,如果限制上传asp的文件,可以试试写入一句话木马,因为它的数据库是asp的啊。

  这次入侵虽然还没有完全控制服务器,但是相信剩下要做得的应该不会很多了。其实很多时候,大家只要多注意点你所浏览的网站,再利用一些基本的技术,服务器还是有很多的,就是看你想不想要了。我从我的hotmail垃圾箱中就捡到了好几个哦。

入侵防御

网络入侵

黑客入侵

垃圾邮件

Windows

用户评论
用户名
评论内容
发表时间
ZDNet网友
2011-03-18 14:57:01
ZDNet网友
2010-05-21 00:49:14
ZDNet网友
2010-05-21 00:48:00
ZDNet网友
微软应该对自己的用户负责,如果用户完全使用xp升级微软win7,为什么要付出这样麻烦的代价?都是微软出品软件,且都是利用该软件获取信息以及处理文字、多媒体功能,微软应该尽可能方便用户!虽然有时候这样的请求也许跟不上时代技术发展的脚步,但是微软不要以此为借口,认为一切都理所应当,就不可以方便用户。还是要尽力,所谓拿人手短吃人嘴软,商业不正是讲求有商道吗!至少做人需诚实守信,尽可能帮助用户顺利、安全转换操作系统、各种必须软件功能尽可能兼容以及信息尽可能的少丢失!虽然这很大程度仅仅取决于微软等计算机专家、工程师的自我自律约束,我们普通用户恐怕很难知道微软究竟仅了多大力量为用户考虑,但是我相信真相会有被发现的一天,无论多久远。 微软从某种意义上来说,就是一个类似“掌握魔方”操作特别出神入化的公司。几乎奠定了电脑主要的“规则”,但是,我却相信不久将来我们会发现,电脑依然是非常有限的一个小系统而已!随着我们新的关键材料认知突破,电脑系统会真正被另一个革命性新电脑系统所取代,不要以为我这样的说法是无稽之谈不可实现,我却认为很有可能,只看这样的情况发生究竟是快还是慢,是早还是迟!变成历史的小玩具之后的电脑系统,微软会留下良好的历史声名吗?我们拭目以待! 网友::我爱佛祖
2010-02-03 13:52:55
- 发表评论 -
匿名
注册用户

百度大联盟认证黄金会员Copyright© 1997- CNET Networks 版权所有。 ZDNet 是CNET Networks公司注册服务商标。
中华人民共和国电信与信息服务业务经营许可证编号:京ICP证010391号 京ICP备09041801号-159
京公网安备:1101082134