近日比較無(wú)聊，于是就想通過(guò)入侵網(wǎng)站來(lái)練練手。因?yàn)槲沂遣锁B(niǎo)，大站就只能看而不能玩，所以就找了一些別人都會(huì)的站入侵。由于最近入侵動(dòng)網(wǎng)比較火，就選擇動(dòng)網(wǎng)吧。至于怎么找有漏洞的動(dòng)網(wǎng)，前幾期黑防光盤(pán)中有工具，很不錯(cuò)，可以找出有漏洞的論壇。我則是在百度搜索了一些采用動(dòng)網(wǎng)系統(tǒng)的網(wǎng)站，隨便選了一個(gè)，進(jìn)去后看了下流量，還不錯(cuò)，蠻多的，如圖1所示。



　　圖1
　　依據(jù)我的習(xí)慣，入侵第一步是先試一下默認(rèn)賬號(hào)和密碼。結(jié)果默認(rèn)的進(jìn)不去，又順手試了一下默認(rèn)的數(shù)據(jù)庫(kù)，哈哈，數(shù)據(jù)庫(kù)位置沒(méi)有改。將其下載下來(lái)，由于密碼是MD5加密的，所以到網(wǎng)上在線解密，如圖2所示。運(yùn)氣真好，沒(méi)想到管理員把密碼設(shè)置得這么簡(jiǎn)單。但還不能高興得太早，不知道管理員有沒(méi)有刪掉備份，如果刪了就只好放棄了，至少我是這樣的。我認(rèn)為管理員連默認(rèn)數(shù)據(jù)庫(kù)路徑都沒(méi)改，備份肯定沒(méi)刪，帶著十二分懷疑的心情去了后臺(tái)，點(diǎn)了備份，出現(xiàn)的一幕讓我大喜過(guò)望，管理員太照顧我們小菜了，真的沒(méi)把備份刪掉，如圖3所示。



圖2



圖3
　　也許有人會(huì)問(wèn)，如果進(jìn)入后臺(tái)發(fā)現(xiàn)密碼和前臺(tái)的不一樣怎么辦?此時(shí)大家可以考慮用Cookie欺騙，以前黑防對(duì)這方面已經(jīng)詳細(xì)介紹過(guò)了，這里就不多說(shuō)了。接下來(lái)的事就是上傳我們的數(shù)據(jù)庫(kù)小馬了，隨便進(jìn)入一個(gè)論壇板塊，讓我郁悶的事情來(lái)了，如圖4所示。怎么會(huì)這樣?進(jìn)入其他板塊再看，無(wú)一幸免，全部都是如此。如今只剩下博客可以選擇了，如果它可以上傳不就可以搞定了嗎?進(jìn)入博客后發(fā)表文章，之后提示成功，打開(kāi)這個(gè)小馬找地址，沒(méi)想到竟然提示頁(yè)面不存在，如圖5所示。



圖4



圖5
　　又一條路被封了!現(xiàn)在大家知道這個(gè)論壇變態(tài)了吧?論壇板塊竟然進(jìn)不去，我還是頭一次碰到是這樣的論壇，不知道大家在入侵動(dòng)網(wǎng)論壇中有沒(méi)碰到過(guò)。突然想起動(dòng)網(wǎng)論壇的頭像也可以上傳，于是進(jìn)入“控制面板”，馬上上傳自己的數(shù)據(jù)庫(kù)小馬，不傳不知道，一傳嚇一跳，結(jié)果如圖6所示。還真夠變態(tài)的，竟然不能上傳JPG的數(shù)據(jù)庫(kù)馬，試了很多次依然不行，不論把后綴名改為GIF還是BMP都提示不成功，看來(lái)還得想其他方法。



圖6
來(lái)到論壇首頁(yè)，對(duì)著首頁(yè)發(fā)呆了差不多半個(gè)小時(shí)，突然眼睛一轉(zhuǎn)，猜我看到了什么?如圖7所示，仔細(xì)看看每個(gè)板塊的主題!不錯(cuò)，我們直接點(diǎn)主題，這次終于進(jìn)去了，如圖8所示。看到左上角的那個(gè)“發(fā)表話題”沒(méi)?這就是我們夢(mèng)寐以求的按鈕啊，現(xiàn)在終于見(jiàn)到了，還等什么，馬上發(fā)表一個(gè)帖子，現(xiàn)在上傳木馬應(yīng)該不是什么難事了吧?但是點(diǎn)擊上傳數(shù)據(jù)庫(kù)小馬后，接下來(lái)的事又使我呆住了，如圖9所示。居然又不可以!接著試了試其他能用的后綴名，都不能上傳!要不是看在這論壇流量這么大的面子上，我也許早就走人了，沒(méi)辦法，既然已經(jīng)到了這里，就沒(méi)有后退的路了。經(jīng)過(guò)長(zhǎng)時(shí)間的思考，我還是把目標(biāo)鎖定在上傳頭像這里了。再次來(lái)到控制面板，試著上傳木馬，正當(dāng)我準(zhǔn)備點(diǎn)“上傳”時(shí)，一個(gè)不經(jīng)意的發(fā)現(xiàn)，看到了上面的性別修改，默認(rèn)是“靚妹”，由于我是男的嘛，于是順手選擇了“酷哥”，然后按了上傳按鈕，沒(méi)想到竟然上傳成功了，如圖10所示。



圖7









　　既然上傳成功了，那就馬上去差異備份吧!成功了，哈哈，費(fèi)盡九牛二虎之力終于拿到了小馬，如圖11所示。至于之后怎么上傳大馬，大家應(yīng)該都會(huì)了，我就不多廢話了，入侵也告一段落了!



　　最后總結(jié)一下，這篇文章沒(méi)有什么技術(shù)含量，主要是想讓大家知道在入侵中要多注意微小細(xì)節(jié)，這會(huì)讓大家在入侵中出現(xiàn)很多奇跡;還要有耐心，如果沒(méi)有耐心的話，那就沒(méi)有成功這兩個(gè)字了。

最新評(píng)論