WEB开发网
开发学院网络安全黑客技术 实例分析:一次利用社会工程学的入侵 阅读

实例分析:一次利用社会工程学的入侵

 2006-11-06 20:08:36 来源:WEB开发网   
核心提示: 有个“安装说明”,打开看看(图1):上面的三处地方:A、我们知道了后台管理的文件是m_login.asp,实例分析:一次利用社会工程学的入侵(2),为进入后台奠定第一步,否则即时有管理员权限也没有地方管理 JB、默认的用户名和密码,因为很多人都用一个密码的,使用ta

有个“安装说明”,打开看看(图1):

上面的三处地方:

A、我们知道了后台管理的文件是m_login.asp,为进入后台奠定第一步,否则即时有管理员权限也没有地方管理 J

B、默认的用户名和密码,这年头真的有人不修改就直接用的,我以前曾经用默认用户名和密码黑过不少留言本和其它类似的系统。

C、默认的数据库名称news.mdb,是Access的数据库,在浏览器可以直接下载的。

现在我们开始第一步,进入www.target.com/news/m_login.asp,显示出要管理员登陆的界面。用默认的用户名admin、密码admin看看,提示错误。然后呢?在浏览器写上www.target.com/news/news.mcb就是默认的数据库路径了,回车。

天啊——居然提示文件下载!幸福ing……保存。用Office组件中的Access打开,终于看到了数据库里面的文件。本想还要再下载一个破解Access数据库的东东来者,结果数据库没有加密。嘿嘿,用户名target、密码target。用这个登陆m_login.asp成功(图2):

还是添加一条新闻警告一下吧,谁叫他这么大意的!^_^

搞定了这里,事情当然还没有完,网站是由几个网上下载的整站程序组成的。我们看看动画欣赏的版面,感觉还凑合。在浏览器写上http://donghua.target.com/admin.asp,无法显示,把admin.asp改成login.asp,跳出了超级管理登陆的界面。

用户名和密码用admin,失败。换成新闻系统的,因为很多人都用一个密码的。使用target登陆成功!好的,现在动画站的控制权又到了小菜鸟我的手中。^_^

上一页  1 2 3 4  下一页

Tags:实例分析 一次 利用

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接