返回
巧施社会工程学轻松入侵个人免费空间

巧施社会工程学轻松入侵个人免费空间

ID:23538919

大小:54.50 KB

页数:6页

时间:2018-11-08

巧施社会工程学轻松入侵个人免费空间_第1页
巧施社会工程学轻松入侵个人免费空间_第2页
巧施社会工程学轻松入侵个人免费空间_第3页
巧施社会工程学轻松入侵个人免费空间_第4页
巧施社会工程学轻松入侵个人免费空间_第5页
资源描述:

《巧施社会工程学轻松入侵个人免费空间》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、巧施社会工程学轻松入侵个人免费空间~教育资源库  昨天晚上刚写完代码在学校的群里透透气,正好遇到学校的几个计算机狂热份子在里面阔谈网站建议。刚进去打个招呼,就被几个寒气避人的家伙冒了几句:你们ncph最近很牛哒,有本事把我网站黑了----login.asp,试了一下or=、or=or、admin、admin888进行登录,当然得先碰碰运行,看来运气不好,失败,并且全是点击登录后找不到页面,有可能他的后台根本就登不进去。  再静下心来看一下这个网站,网站名字为xxx在线,但上面还有他的个人介绍,够详细的。我们看下图2:    连个人姓名、年龄、邮箱

2、、、等在网站上全可以找到,哎,太张扬了吧,网站做得并不怎么样,还是一个二级域名。  了解了一下网站的基本信息,总还得动手干啊,还是拿工具扫扫看。拿出明小子旁注3.5,测试是否有上传漏洞,默认数据库得,当然,旁注3.5里面许多上传漏洞存在页面的文件还有默认数据库等,得自己添加一些新的,我自认为这软件灵活性还可以。检查上传漏洞和默认数据库等都没戏,这个也正常,不然人家凭什么挑衅。  再仔细查找一下注入点,用旁注软件批量注入测试一下,同样没有什么信息。接下来只有再看看他的站了,这么大个站,拼凑了这么多的源代码没一点破绽?不放弃是我的性格。  还好,有一

3、个投票系统,也是用的别人的,老天对我不薄,我们判断一下,如图3:    再试一下and1=1返回正常,and1=2,出错,好的,有戏了,我们拿注入工具猜解一下,还是用明小子旁注3.5吧。  结果如图4:    看到了,得到一个密码,一阵欢喜,去后台登录一下看。郁闷,输入用户名:admin、密码:49420072,点击登录,仍然找不到页面。咋回事,随便输几个点击登录还是找不到页面。看来他的这个后台是不能登录的(后来确实经他证实,为了防止我的攻击,他已经改了后台代码,不能登录的!)。  也许到了这一步我们真的是无计可施了吧,我仍对自己说不要轻易放弃,

4、体息了一分钟,静下来再想了一下。  既然网站程序已经无计可施,我们再从其它地方着手吧。当然大家都比较当用旁注吧,我看了一下,和他一个服务器的就一个国际域名:.f78.,他是在这个域名下划分的一个二级域名。那么我们打开这个域名看一下,如图5:    是一个提供免费空间的网站,他应该是在这个网站上免费申请的,但从这个页面上没有找到可以注册的地方,找到一个点击申请,却显示请先登录,而登录的地方找并没有申请或注册的地方。  在这个网站上转了转,在版权下面发现Copyright©2003-2005.ffccc.,Ltd.AllRightsRese

5、rved.飞骋公司版权所有,当然接下来打开这个网站看看,果然找到一个注册的地方。猜想他应该是在这里注册的,要知到这个系统是怎样的才可以再想办法。我也申请了一个用户,进去一看就明白了,申请免费空间还需要在社区的点数的,这里面同时是跟域名绑定在一起的,并且域名就是你的注册名,并且可以更改ftp密码。  通过前面搜集的这么多的信息,我们完全可以施展社会工程学手段了,先用他的用户名:******和我们从注入点猜解出来的密码:49420072,点击登录,遗憾显示失败,看来他的安全意识还有一点高。我们再用这个密码登录他的邮箱试一下,也是失败,看来他不是常用这

6、个密码。  仍不放弃,在登录窗口呆了又一分钟,点击忘记密码,显示请输入用户名,输入用户名,单击下一步,接下来出来下面结果,如图6:    是不是有点欣喜,至少还有路。马上输入从他网站上找到的生日:107-----错误、1007-----错误、1984107,ok,我们看下面结果,是不是意想不到?如图7  12下一页友情提醒:,特别!  输入新密码,显示修改成功,好,接下来我们一路高歌,来到登录框,输入用户名,和我们更改后的密码,ok,登录成功,如图8:    点击免费空间,就回到.f78.登录框,输入用户名和密码登录如下图:    当然我们现在得

7、到的只是一个他在免费空间上注册的帐号和密码,但免费空间是通过ftp来管理的,我们看上图,其功能就只有修改ftp密码这一项,我们主要目的是拿下他网站,这些功能还不能做到,因为我们点示修改ftp密码看一下就知道了,如下图10:    修改ftp功能需要原ftp密码,但原ftp密码我们并不知道,我也试了通过注入点猜解出来的密码不是。当然我们再习惯性地看一下忘记密码这个选项是怎样的,如图11:    需要身份证号,这一项又把我难住了,难道我还得再一次施展社会工程学?没办法,再想想办法,我在他网上找了找,没有身份证号资料,看来他的个人简介还不够详细,呵呵。

8、忽然间想到,他跟我是一个学校的,我们学校学籍管理系统中有个人的身份证号,可那个要学号跟密码登录才行的。  没办法,只有试一试了,怎么知道

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。