当前位置:首页 > 黑客业务 > 正文内容

入侵网站拿服务器(服务器入侵接单)

hacker5个月前 (06-19)黑客业务44

  事情的起因是这样的,有一天一同学发给我一个百度链接,说是DNF外挂的下裁站的百度搜索,于是我便顺手打开看了看,网站做的很纯粹,前几个位居百度首位的基本都是论坛程序,做的也很简单,但翻到最后几个的时候,我看到了一个gov的网址,这时我就纳闷了,gov不是典型的政府类阿站后缀吗?怎么会出现在NDF搜索的页面中呢?点击进去一看,网站制作的很潦草,只有一个主页,页面上简单的罗列出了一些外挂的下载地址,仅此而已,我真的晕了,难道这么简单的网页也可以百度搜索排在第一页吗?所以我就把这个网址拿到了站长助手那里,顺手查了一下他的PR值。结果这居然是一个PR6的站点,好吧,再让我们共同晕一次吧。

入侵网站拿服务器(服务器入侵接单)

  重新打开网站的主页进行查看,发现居然又变成了另外一个网页,我一时间真的有些摸不着头脑了,于是又再次打开了百度收录的那个网页,发现都是主页文件,但是主页的后缀却不一样。查看一下搜索引擎对该网站asp网页的收录数量,在对比相同搜索引擎中搜索到的Html网页,发现该网站主要是以Asp网页为主的。那么此刻,网站的来意我们也就大致清楚了,原本这个站点是一个以ASP语言搭建的政府站点,但是击口被非法利用了HTML的主页变成了DNF外挂站点,在这里我们不禁要佩服这个制作DNF网站的朋友真的很聪明,拿下了别人的网站,新建了个index.Html做链接来增加自己外挂网站的人气。

  好了,既然有同行来过,那么该网站就意殊着一定会有漏洞,再次打开网站,我随便点开了一个新闻,习惯性的顺手加了个“,”,发现返回的页面是相同的,再分别添加“and l=l”和“andl=2”,返回的结果也相同。再仔细观察网站,我发现这个网站的后缀结构是“id=6783&cid=203”形式的,同时也看到了“&”符号,于是把“&”符号和后边的参数全部去掉,这次再加个“’”。

  网站有可能存在注入漏洞,这时我们再顺手添加“and l=1”和“and l=2”进行检测,结果返回了不同的页面,由此可以证明网站确实存在注入

  漏洞。使用啊D进行检测,但在检测字段时却只跑出了个id,剩下的什么都没有了。

  

入侵网站拿服务器(服务器入侵接单)

  网站注入暂时无果,根据我的习惯,我又在网址后面顺手加了个“admin”,没想到网站的默认后台并没有更改。可是我们并没有后台的登录帐号和密码,我简单的看了下后台页面,后台也一样,非常简陋,没什么特色。这样的后台比较容易出现弱口令或者万能密码漏洞,尤其是对于政府机构站点或者是企业阿站,安全性一向不怎么好的,不出我所料,使用万能密码“or”=“or”【图文推送最后一篇有详解,建议看看】,成功的登录了进去。

  后台的功能很简单,只有图片上传的地方,其它的什么都没有了,抓包也抓不到什么东西,所以我把目标又定位到了图片上传的地方,单击“图片上传”按钮,网站弹出了图片上传的页面,点击右键查看一下它的源代码,我终于高兴了起来,这是本地验证上传的页面,我们可以在本地构造一个页面,把asp文件提交上去,因为上传程序对于上传文件只进行了本地验证,但在服务器上却没有丁点的验证,所以我们在本地构造一个表单,就可以成功绕过上传验证了,就这样我成功的上传了自己的a sp/J.,马,是列目录漏洞,接下来依次顺着目录往下翻,发现小马已经乖乖的躺在那里了。

  点开我们的小马,填写上大马的路径与代码,就这样Webshell到手了,等到了这个站点的Webshell也就相当于拿到了那个网页的修改权限,我把同学要的外挂程序,打包并传给了同学,任务完成,至此一个PR6的站点就这样简单沦陷了,整个过程很简单,没什么困难的地方,主要是因为网站管理员的懒惰,才导致小编的入侵成功。根据本文的入侵经历,我们应当得到的启示是,要勤于更换默认密码,完善后台的变量过滤,防止经典的万能密码漏洞重生,得当的划分服务器的权限,避免服务器列目录,从而给入侵者一个收集信息的条件。

扫描二维码推送至手机访问。

版权声明:本文由黑客接单发布,如需转载请注明出处。

本文链接:https://therlest.com/148330.html

分享给朋友:

“入侵网站拿服务器(服务器入侵接单)” 的相关文章

字节承认商业化团队撤城裁员

据晋江新闻网2021年10月19日21:00:43的最新发布,微博网友@ 爆料。 平安夜来临之际,事件,在网上炒得沸沸扬扬,引发全网热议! 据悉,黑客追款后来被报道了几次。猜测第六百八十八章逃港者第六百八十九章调侃第六百。相对这个账号是他的。 1.专业网赌追回律师 首先确保整个真正的黑客追款方案是最...

蚯蚓的市场价格 - 2020年蚯蚓收购价格

今年2020年这个价格还算是比较合理,市场价格较为平稳,当地蚯蚓批发价250元/万条,今日浙江海宁地区鲜蚯蚓批发价为17,最高可卖3元/两,每次都-是老家亳州的来回辗转的跑辛苦.货源充足,现在贩子登门收购18-222020元/斤不等。 目前价格多少钱一斤目前价格在8元一斤,是一种营养价值很高的无脊椎...

中铁快运寄件电话 - 中铁快运官方网站

尽快前去领取吧,查询可以来我们,包裹已经到石家庄了,告诉对方所寄何物。广木头箱子费用在及时上百不等。 .网站“中铁快运单号查询系统”留言查询,开始不知道。 中铁快运的,且电话通知无人接听,但是价格也很贵。在哪里寄,中铁快运,电话多少中铁。 打了个电话,K54,徐州中铁快运,你好,木头箱子中铁能提供。...

存储过程oracle(oracle财务系统)

推荐教程:甲骨文教程 本文主要介绍甲骨文中的数据转换。 1.日期转换成字符串(以2016年10月20日为例) 选择to_char(sysdate,& # 39;yyyy-mm-DD hh24:mi:ss & # 39;)strDateTime从dual-获取年-月-日:分:秒-...

书黑客,黑客软件破解吃鸡,网站黑客攻击工具

关于较新版别的Windbg,官网已不再支撑独自下载,只能经过Windows SDK里边勾选来装置,不过装置之后Redist目录会有x64/x86/arm的装置包,也可独立装置。 此次评选活动的意图在于,在安全社区中宣扬这些技能,让职业进步对安全的注重,一起也能让这些技能能遭到认可和铭记。 因而,根据...

intense靶场-获取User权限

出品|MS08067实验室(www.ms08067.com) 本文作者:jokelove(Ms08067内网安全小组成员) Intense是HTB中一个难度中上的靶场,需要参与者具备下述能力: 1. Python源码审计 2. SQL注入原理 3. SNMP远程命令执行 4. 栈溢出...

评论列表

余安温人
5个月前 (06-19)

据我的习惯,我又在网址后面顺手加了个“admin”,没想到网站的默认后台并没有更改。可是我们并没有后台的登录帐号和密码,我简单的看了下后台页面,后台也一样,非常简陋,没什么特色。这样的后台比较容易出现弱口令或者万能密码漏洞,尤其是对于政府机构站点或者是企业

绿邪莘夏
5个月前 (06-19)

的主页变成了DNF外挂站点,在这里我们不禁要佩服这个制作DNF网站的朋友真的很聪明,拿下了别人的网站,新建了个index.Html做链接来增加自己外挂网站的人气。  

鸽吻梦冥
5个月前 (06-19)

  事情的起因是这样的,有一天一同学发给我一个百度链接,说是DNF外挂的下裁站的百度搜索,于是我便顺手打开看了看,网站做的很纯粹,前几个位居百度首位的基本都是论坛程序,做的也很简单,但翻到最后几个的时候,我看到了一个gov的网址,

余安而川
5个月前 (06-19)

  事情的起因是这样的,有一天一同学发给我一个百度链接,说是DNF外挂的下裁站的百度搜索,于是我便顺手打开看了看,网站做的很纯粹,前几个位居百度首位的基本都是论坛程序,做的也很简单,但翻到最后几个的时候,我看到了一个go

蓝殇亡鸦
5个月前 (06-20)

然有同行来过,那么该网站就意殊着一定会有漏洞,再次打开网站,我随便点开了一个新闻,习惯性的顺手加了个“,”,发现返回的页面是相同的,再分别添加“and l=l”和“andl=2”,返回的结果也相同。再仔细观察网站,我发现这个网站的后缀

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。