WEB开发网
开发学院网络安全黑客技术 实例分析:一次利用社会工程学的入侵 阅读

实例分析:一次利用社会工程学的入侵

 2006-11-06 20:08:36 来源:WEB开发网   
核心提示: 太简单了吧,一点挑战的意思都没有,实例分析:一次利用社会工程学的入侵(3),随手打开网站的一个文章子站,用的是“动力文章”管理系统,最像管理员登陆文件的时候sysadm_index.asp,在浏览器写上http://tongxuelu.target.com/sysa

太简单了吧,一点挑战的意思都没有。随手打开网站的一个文章子站,用的是“动力文章”管理系统。页面最下面有“管理登陆”。方便,不用费心找管理文件了,呵呵。尝试了一下上面的几个密码,没有成功。

怎么办?还是和搞定新闻系统的一样,从网上down一个动力文章管理系统。发现默认的数据库文件是.asp结尾的。相信站长必然不会改成.mdb了,这样就没办法下载了。难道就没有办法了?不行,不能这么放弃。继续猜解密码!

尝试了几个比较无聊的数字,像123、123456、abc、iloveyou之类的之后,我敲上了target520,结果——成功了!嘿嘿,又一只羊落入狼口了。^_^

还有什么好玩的?还有校友录。恩,打开看看,界面还是很不错的哦。看站长的水平一定不是自己做的,好像找人做的可能性也不大。那就只有一条路,就是从网上下载的校友录整站程序。哪一种呢?不清楚。

尝试admin目录、admin.asp和login.asp文件,不成功。

看看同学录首页,仔细观察一下,页面是这个样子的:(图3)

看到图片中我圈中的部分了没有?选中这些字符,包括前后的两个“※”,因为包含“同学录统计信息”的页面可能很多,但是前后同时包含两个“※”的就少了。这是为了提高搜索的准确率。^_^

当然,这一下子搜出很多的。看看基本都是这个模样的。这证明了我刚才的猜想——同学录是下载的。

上百度搜一下,到有asp同学录的地方看看。发现下载最高的无非是两个:红雨同学录和风月同学录。都down一个下来,放到iis目录下面。运行之后看看界面。这下子就知道了,是用的风月同学录。看一下iis目录中的文件,最像管理员登陆文件的时候sysadm_index.asp,在浏览器写上http://tongxuelu.target.com/sysadm_index.asp,眼前出现了登陆的界面。

上一页  1 2 3 4  下一页

Tags:实例分析 一次 利用

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接