黑客入侵实例 记对Discuz论坛的入侵
2006-11-06 20:03:01 来源:WEB开发网最近闲来无事的菜鸟们,掀起了一场Discuz论坛,入侵狂潮的“运动”。一时间闹整个安全界也是沸腾不已。不过各站点的站长们身手还算敏捷,低版本Discuz论坛还没用多久,便换上了高版本的论坛(Discuz!4 dot 0.0RC3版本)进行弥补漏洞。但是经过笔者测试成功,得出高级版本的Discuz程序,也是含有跨站入侵的漏洞。只是在方法有些差别而已。下文便是笔者这段时间入侵研究的心得,何不一同来领略一下入侵带来的“快感”!
一、望穿秋水的“手动”入侵法
1.首先进入GOOGLE或者百度的搜索站点,在关键字处输入Powered by Discuz! 4.0.0RC3,然后单击 “目标”按钮进入。便可查找出众多使用此版本的论坛地址,这里笔者随意挑选了一个游戏公司的站点作例题讲解。进入游戏公司站点后,单击右上角 “注册”标签,弹出会员用户的注意事项,并且需要等待论坛所设置的阅读时间,然后“单击”下方同意按钮,在注册用户的必填处,填入自己的相关信息,最后单击“提交”按钮,即可成功注册。
2.会员注册成功以后,自动跳转到论坛首页。在依次进入“控制面板”→“编辑个人资料”。打开“编辑个人资料”标签,单击下方“论坛头像列表”按钮(如图1),会显示出论坛头像中的所有图片。这里笔者随意选择了一个预设的头像图片,并将其页面保存到本地机器中。
图 1
3.在转到本地机器,以记事本形式打开保存的页面,并单击上方“编辑”标签,选择“查找”选项,弹出查找对话框。在查找文本处输入 “<FORM action=”的字符内容,然后单击目标处“查找下一个”按钮,会在记事本内容下方,选择到所要查找的目标(如图2)。随后在等号后面填入WWW. GU**Y.COM.CN,来补全提交页面的网址路径。在将其修改过的页面保存,然后在重新打开该页面,并单击 “提交”按钮。这时再回到网站的“控制面板首页”标签栏,查看一下头像是否提交成功。
更多精彩
赞助商链接