WEB开发网
开发学院网络安全黑客技术 巧施社会工程学 轻松入侵个人免费空间 阅读

巧施社会工程学 轻松入侵个人免费空间

 2006-11-07 20:05:48 来源:WEB开发网   
核心提示: 再仔细查找一下注入点,用旁注软件批量注入测试一下,巧施社会工程学 轻松入侵个人免费空间(2),同样没有什么信息,接下来只有再看看他的站了,找到一个“点击申请”,却显示请先登录,这么大个站,拼凑了这么多的源代码没一点破绽?不放弃是我的性格

再仔细查找一下注入点,用旁注软件批量注入测试一下,同样没有什么信息。接下来只有再看看他的站了,这么大个站,拼凑了这么多的源代码没一点破绽?不放弃是我的性格。

还好,有一个投票系统,也是用的别人的,老天对我不薄,我们判断一下,如图3:

再试一下”and 1=1” 返回正常,”and 1=2”,出错,好的,有戏了,我们拿注入工具猜解一下,还是用明小子旁注3.5吧。

结果如图4:

看到了,得到一个密码,一阵欢喜,去后台登录一下看。郁闷,输入用户名:”admin”、密码:“49420072”,点击登录,仍然找不到页面。咋回事,随便输几个点击登录还是找不到页面。看来他的这个后台是不能登录的(后来确实经他证实,为了防止我的攻击,他已经改了后台代码,不能登录的!)。

也许到了这一步我们真的是无计可施了吧,我仍对自己说不要轻易放弃,体息了一分钟,静下来再想了一下。

既然网站程序已经无计可施,我们再从其它地方着手吧。当然大家都比较当用旁注吧,我看了一下,和他一个服务器的就一个国际域名:http://www.f78.net,他是在这个域名下划分的一个二级域名。那么我们打开这个域名看一下,如图5:

是一个提供免费空间的网站,他应该是在这个网站上免费申请的,但从这个页面上没有找到可以注册的地方,找到一个“点击申请”,却显示请先登录,而登录的地方找并没有申请或注册的地方。

上一页  1 2 3 4  下一页

Tags:社会 工程学 轻松

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接