& N+ C; a% s1 J1 e B8 f3 e3 d8 i转载请注明作者,上次发的原创被人给改了。汗~断肠不认人了,现在那篇文章好多都被收录了。8 v& A. L' i$ Y, w) H( ]% s, h
===================================================================0 K1 A q# p. a `4 d6 B% b
在这里说点儿题外话:. N& v# _$ @5 d9 y2 b
6 k- ~, N7 U5 A+ [6 Y作者:HYrz ; }# Z" S! [+ x出自地址: http://www.3ast.com.cn/viewthread.php?tid=14949&fromuid=128895 L3 e% Z1 m8 ~/ b
' v# W4 T5 t) i7 o0 t
" T8 ?0 S3 ?+ O( Q2 [
今天本来心情就很差,都是MM惹的祸~哎~在她网站留了个后门,告诉她oday后,还没过2天她就问我是不是网站漏洞补没补,我说补了,过了一会儿她又说我是怎么进来的。碍于面子,只好给她说出了后门的事。。。然后我告诉她你想删就删吧,果然还真删了~呼.废话又多了,开始吧。。。 $ T |9 i& I3 d2 C$ Y" O( U1 C5 B( i4 h6 Q9 p2 b1 ^2 p* x3 Y
/ d h, Z% M/ s; m" u* t, R5 O
[attach]2232[/attach]( C1 g6 f' c" B
$ D. P0 E Y& _ L* _3 W # ], }# d; i3 `7 ^+ S8 O 7 O- r% P: |4 f4 @' S7 L T
0 \2 y) n0 S. s' W3 f. l开头:& ]( A/ n% t b# H5 b
* w% B2 \4 i8 M5 w1 v/ O* v- v$ w
看着郁闷,只好找找事情解解气。哈哈~我一般都喜欢检测人家的站点,小菜啊!每次都是那么的失败。经常有人会这样说:"不懂爱玩,玩也不懂",听起这句话个人也蛮有意见的,嘎嘎~好了废话太多了。 0 {3 a) Y' Z t2 w3 |2 e + O* h9 B5 c: V 在手工检测的时候碰到了一些注入点,但是利用不怎么大,不是猜不到表就是一大堆的ACCESS,挺麻烦的。在检测到“中国侵权网”的时候,本来我是忽略的,以为这个站太死了,进了后台尝试了一些常用密码也不行。手工完后面几个站的时候,用着好奇心去再次去看看那个站点!拿这啊D轮流的扫网站存在的目录,哈哈~这次果然不出所料,直接把数据库给扫到了(这是一种巧合,在其它站点的时候就没有这么后运气了。能看的就往下看),用迅雷测试了下可以下载。用明小子打开ACCESS数据库文件,找到了登陆密码。由于密码是MD5加密的,只有去www.xmd5.com解密,密码设置的很简单,放到框里直接给输出来了~哈哈,这次离拿webshell虽然还有很长的距离,但是有希望啊!拿着密码直接找到后台登陆,因为有2个口令,试第一个口令时提示密码错误~怎么搞得啊?数据库密码都不正确。。。试第二个密码成功进入后台,嘎嘎~ 3 g' H3 V- w& H' L ! a1 O9 i; g8 J; v( @! v7 m2 m [attach]2233[/attach] 0 n5 `8 z9 E; l+ Q% d1 S : i9 O7 K, ~+ \ 9 K) ^! O: r3 N' z! I# ?. D" F9 m) a