WEB开发网
开发学院网络安全安全技术 对某PHP手机网站的一次安全检测 阅读

对某PHP手机网站的一次安全检测

 2008-12-25 13:43:55 来源:WEB开发网   
核心提示: 图3IXPUB技术是MYSQL的数据库,这里告诉大家,对某PHP手机网站的一次安全检测(2),不要武断的认为只要是PHP就一定是MYSQL数据库,他们只不过是常见搭配而已,是没有办法进行解密的,我们通常上的MD5解密网站也要通过一个一个比对,应该小心求证,有的朋友看到这里

图3IXPUB技术

是MYSQL的数据库,这里告诉大家,不要武断的认为只要是PHP就一定是MYSQL数据库,他们只不过是常见搭配而已,应该小心求证。

有的朋友看到这里,可能会说,有了注入点入侵还不容易啊,其实不然,我开始也认为应该是不会太困难,可往下走的时候才发现,有很多问题要一一的去解决。

到目前位置,所得到的基本信息是

开发语言:PHP

数据库环境:MYSQL

网站后台:ADMIN

存在注入点:ad.php?adid=22

整站系统:ECSHOP(这里如果能找到详细版本尽量要详细的版本)



(n0不过这里在下了ECSHOP系统,本地搭建之后,发现本地和网站程序有所差别,网站应该是一套整合过了的程序。没关系,既然他漏了马脚,我们就继续跟踪。

一般大家都会选择不同的工具去进行检测,因为方便,我也不例外,打开PHP注入漏洞检测工具,不太有效,最近新出个工具pangolin挺火的,自己感受了下也确实不错,尤其是他的命令行功能强。(如图4)

对某<a target=PHP手机网站的一次安全检测" border="0" onload="return imgzoom(this,550);" style="cursor:pointer;" onclick="javascript:window.open(this.src);"/>

图4

还算不错检测出来数据库的名称Current database is : shouji,看了下本地搭建的站点知道他的管理员的表名叫做ecs_admin_user,列名分别为user_name、password。(如图5)

对某<a target=PHP手机网站的一次安全检测" border="0" onload="return imgzoom(this,550);" style="cursor:pointer;" onclick="javascript:window.open(this.src);"/>

图5 IXPUB技术

把相应的名称添加到pangolin上猜解,管理员的用户名以及密码都已经猜解出来了,不过速度太慢了,拿到MD5的加密值,破解不了,也有好多朋友问过我,破不了MD5,我们怎么办,那我的回答就只能是另辟新境了,应为MD5加密是单向的,是没有办法进行解密的,我们通常上的MD5解密网站也要通过一个一个比对,才能找出他的对应明文。

上一页  1 2 3 4 5 6  下一页

Tags:PHP 手机 网站

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接