看了最近几期的黑防,发现入侵学校网站的朋友真是越来越多了。虽说学校网站的安全性大多较差,但对于新手来说,还是有一定的困难的。下面我就实际操作一次,详细地为和我一样的菜鸟朋友演示一遍。
拿学校网站当然不是什么好事,就用我所在的学校为例吧。打开网站外网(现在学校一般访问的时候都是分内网和外网的)的域名:www.*****.com.cn,我所在的系别是网络工程系,先拿自己的系开刀吧!网站页面采用ASP编写,怎么看都像是整站系统改过来的,如图1所示。
既然网站采用的是ASP,那么对于入侵的方法,我们可以采用注入,或者先注册一个用户用来提权;但是管理员可能是为了防止这一点,已经关闭了注册功能,如图2所示。
管理员以为这样就万事大吉了。那好,我们看看是不是有注入点,先工具后手工,这样比较节约时间。至于所选工具,可以根据自己的习惯选择。注入点查找,我习惯用Domain3.5,打开之后导入网站检测,如图3所示。之后的工作,连我这个菜鸟都知道了,大家肯定都听烦了,检测注入->猜解数据库->猜解列名,最后结果如图4所示。现在,我们只要找到网站的后台就可以了,还是使用Domain3.5,如图5所示。看了看地址,和默认的网站路径基本一样,打开之后也有登录功能。
1 2 下一页
安全中国首页 > 文章中心 > 入侵技术