`
zpball
  • 浏览: 919438 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

入侵某淘宝刷信誉网站

阅读更多

今天群里的小U发来一个站,说是淘宝刷信誉的网站,害人的网站,吾必搞之。费话不多说,叫上群里的兄弟,把网站更新到群公告里面,群起而攻之。
1、基本信息探测
首先看了一下网站,界面倒是挺漂亮的,这里我就不截图了,免得兄弟们看到了去爆菊花。 全站使用asp架设,已经做伪静态处理,看了一下新闻,后缀为news.asp?/1469.html(暴露一点信息),测试了一下把网站URL改为 news.asp?id=1469 可以正常打开,于是测试注入,发现做了Sql防注入,不想去中转,放弃注入。看群里兄弟战况发现,如果用扫描器扫描目录的话,网站就打不开了,要过一段时间才能打开,看来工具我这里也不敢用了。
2、社工真强大呀
既然工具不能使用,那么我手工总可以吧?于是社工FTP,后台地址,Google搜索一起使用结果还是不行,测试wwwroot,rar, wwwroot,zip不行,于是测试网站域名XXXXX.zip不行,XXXXX.rar奇迹出现了,结果弹出下载提示框,天助我也,今天必灭之。打开迅雷,输入下载地址,下载源码。
3、终于发现漏洞
下载回来源码一看,果然是网站源码粗略一看网站后台目录果然异常强大XXXadminxxxxxxx11(已做处理)看了一下,似乎是动力的文章系统,如下图:



如此强大的目录,难怪群里面的兄弟们说扫不到目录呢,测试常见的用户名及密码进不去,看来站长知道做此类站,迟早会被吾等暴之,所以网站做的比较安全,继续测试。
找数据库,看一下conn.asp发现网站居然是MSSQL数据库的,shit 这样就必须服务器开启数据库外连才能连接上去查后台的用户名和密码了,telnet  www.xxx.com 1433发现可以连接,oh yeah !  马上打开MSSQL查询分析器连接,发现居然出错,用SQLtools连接也提示失败,郁闷死我了。看来这招不行了。
找上传页面,发现上传页面名称也被改成非常见的了,随便测试一下,马上返回前一面,说明做了session验证,放弃。
再找,发现dvbbs8,找到管理员密码解密,都解不出来,看来管理员还是很强大的,也都不是弱密码,放弃。
再翻,发现一个datayu目录里面有一个#xxxData.asp的数据库,访问了一下,居然没有做防下载处理,天助我也。打开辅臣数据库浏览器,发现里面记录的都是网站防注入的信息,于是想到直接向数据库里面写入一句话木马不就搞定了? 于是对网站进行注入使用了 ' and 1=2 and ┧眾┼攠數畣整爠煥敵瑳∨楬湡≧┩挾 ,测试过N多个页面,都被记录了,但是返回刷新页面发现似乎没有写入,正准备放弃使用此方法的时候,发现网站还有另外一个防注入的程序,是直接写入到另外一个mdb的数据库,看来我对页面做的注入测试是写入到了那个mdb数据库里面了,继续翻网站的管理目录,发现有一个页面定义了注入参数,是写入到这个asp数据库里面,而且此页面未做Session验证,直接打开,写入参数,保存成功。



点提交后,提示保存成功,然后返回去刷新发现了可爱的  execute




4、成功拿下目标站
使用一句话连接,测试,可爱的hello world !  出现了,然后直接上传木马,留名闪人。





本文来源于独自等待博客:http://www.waitalone.cn/ 原文地址:http://www.waitalone.cn/post/617.html








  • 大小: 33.7 KB
  • 大小: 73.4 KB
  • 大小: 20.7 KB
  • 大小: 10.5 KB
分享到:
评论

相关推荐

    入侵指定网站思路篇

    入侵指定网站思路篇

    入侵检测论文 入侵检测论文 入侵检测论文

    入侵检测论文 入侵检测论文 入侵检测论文 入侵检测论文 入侵检测论文 入侵检测论文 入侵检测论文 入侵检测论文 入侵检测论文

    opencv_目标检测_Opencv基于VC++开发的视频入侵检测预警程序_VC++_视频入侵检测_入侵报警

    《OpenCV在VC++中的应用:视频入侵检测与预警系统》 OpenCV(开源计算机视觉库)是一个强大的工具,广泛应用于图像处理、机器学习和计算机视觉领域。在本项目中,我们将探讨如何利用OpenCV结合VC++编程环境,构建一...

    SVM_kddcup_SVM入侵检测_入侵检测_基于机器学习的入侵检测

    "SVM_kddcup_SVM入侵检测_入侵检测_基于机器学习的入侵检测"这一主题聚焦于利用支持向量机(SVM)算法进行入侵检测。本文将深入探讨SVM在入侵检测中的应用,以及如何使用Python实现基于机器学习的入侵检测系统。 ...

    基于信誉评估的Ad hoc分布式入侵检测.pdf

    本文提出的基于信誉评估的分布式入侵检测模型主要应用于Ad hoc网络,其目的是在节点资源受限的条件下提高入侵检测的效率和准确性。该模型由三个主要部分构成:信誉评估、贝叶斯博弈检测和综合检测。 信誉评估是整个...

    小试SQL注入轻松入侵网站.pdf

    小试SQL注入轻松入侵网站.pdf

    入侵检测 课件ppt

    入侵检测技术国家信息化安全教育认证培训课程 入侵检测技术是国家信息化安全教育认证培训课程中的一门重要课程,它涵盖了入侵检测的概念、术语、技术和系统等方面的知识。以下是这门课程的详细知识点: 一、入侵...

    某银行入侵报警系统设计方案.pdf

    "某银行入侵报警系统设计方案" 一、安全需求分析 在设计某银行入侵报警系统时,需要考虑到银行的安全需求,包括夜间非法入侵、营业时间抢劫等行为的防范。为此,系统需要具备高可靠性和高透明度,能够实时监控和...

    目标识别与区域入侵检测

    1.区域入侵检测是通过识别目标之后或者目标坐标位置,判断目标坐标是否在所规定的区域内出现,使用在电子围栏,不安全区域入侵检测,智慧城市,安防监控等领域。 2.这里的编译环境是Win 10, vs2019,OpenCV4.5, 目标...

    入侵检测技术入侵技术

    入侵检测技术是计算机网络安全领域的重要组成部分,它旨在预防和发现未经授权的、潜在有害的行为,以保护系统免受恶意攻击。随着互联网的普及和依赖度增加,网络安全威胁日益严峻,入侵检测技术的重要性也日益凸显。...

    桌面入侵者专杀工具,有效防止桌面入侵者病毒的入侵

    【标题】:“桌面入侵者专杀工具,有效防止桌面入侵者病毒的入侵” 【描述】:桌面入侵者专杀工具是一种专门设计用于检测和消除被称为“桌面入侵者”病毒的安全软件。这种病毒主要针对个人电脑的桌面环境,通过各种...

    入侵检测实验报告

    【入侵检测实验报告】 入侵检测是网络安全领域的重要组成部分,它主要负责监测网络活动,识别潜在的威胁和异常行为,以防止未授权的访问和攻击。本实验报告将详细阐述嗅探实验、数据包记录器实验以及入侵行为检测...

    入侵检测NIDS_NIDS入侵检测代码_入侵检测_

    NIDS入侵检测源代码,了解NIDS入侵检测过程

    基于网络的入侵检测系统源码.zip

    【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,...基于网络的入侵检测系统源码.zip基于网络的入侵检测系统源码.zip

    一个被入侵的网站日志记录

    一个被入侵的网站日志记录 学习 预防 记录

    R语言入侵物种分类和预测模型

    R语言入侵物种分类和预测模型 R语言入侵物种分类和预测模型R语言入侵物种分类和预测模型R语言入侵物种分类和预测模型R语言入侵物种分类和预测模型R语言入侵物种分类和预测模型R语言入侵物种分类和预测模型R语言入侵...

    基于MATLAB实用的入侵检测

    【基于MATLAB实用的入侵检测】是一个利用MATLAB开发的智能安全系统,旨在实时监测环境并检测潜在的入侵行为。这个系统集成了MATLAB的图形用户界面(GUI),使得用户可以通过摄像头直观地获取并分析视频流。通过这个...

    天融信入侵检测系统用户手册.pdf

    天融信入侵检测系统用户手册提供了详尽的指导,帮助用户理解和操作天融信的TopSentry3000入侵检测系统。该系统是专为监控网络和系统安全而设计的,通过检测和分析网络流量,能及时发现任何可能违反安全策略的行为...

Global site tag (gtag.js) - Google Analytics