WEB开发网
开发学院网络安全黑客技术 实例讲解 黑客入侵论坛各种手段大暴光 阅读

实例讲解 黑客入侵论坛各种手段大暴光

 2006-11-06 20:02:07 来源:WEB开发网   
核心提示: 大家知道,在cgi或perl程序里如果写入“system @ARGV;#”(注意输入时没有引号),实例讲解 黑客入侵论坛各种手段大暴光(4),就会形成一个有趣的网页后门,在IE地址栏中输入http://ip/*.pl?dir就会看到网站的物理目录,以本文为例,只要输

大家知道,在cgi或perl程序里如果写入“system @ARGV;#”(注意输入时没有引号),就会形成一个有趣的网页后门。在IE地址栏中输入http://ip/*.pl?dir就会看到网站的物理目录。以网上非常流行的Agbii免费cgi留言本为例,该留言本里的留言是以第n条留言的数目、用户名、标题和内容等等来排列的,而且留言都是按照顺序排放在一个固定目录data/用户名下面的。说起来好像很复杂,让我们来看图7,假设这是黑客在Agbii免费cgi留言本中的留言,它是该留言本中的第14条留言,假设其注册的用户名是;system,标题为@ARGV;#,内容则是“呵呵”,在data/222目录下的14.pl的文件内容就是如图8所示。由于此留言本的用户就是222,因此只要黑客在浏览器地址栏中输入http://IP/book/data/222/14.pl?dir就会得到一个shell了(图9)。注意这里的http://IP/book/是留言本的地址。得到shell之后,黑客还可以得到该管理员的密码!只要在浏览器的地址栏中输入“http://IP/book/data/管理员名字/14.pl?type+该留言本的物理目录user管理员名字.cgi”就可以了。以本文为例,只要输入“http://www.xxx.com/book/data/lxgyp/14.pl?type+d:虚拟主机webookuserlxgyp.cgi”就可以得到该管理员的用户名和密码、注册时的邮件地址、他的网站地址、IP地址以及登陆时间,一目了然,尽在掌握!

   第五招:太公钓鱼进行跨站脚本攻击

上一页  1 2 3 4 5 6  下一页

Tags:实例 讲解 黑客

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接