【3.A.S.T】网络安全爱好者 - Powered by Discuz! Board

标题: 【原创】一次入侵某省信息网的过程 [打印本页]

作者: 上帝的爱 时间: 2008-9-7 01:24 标题: 【原创】一次入侵某省信息网的过程

原创文章，转载注明。
大家好，我是上帝之爱，好久没有玩搞站了，今天是双休日，时间是大大的有啊！所以就不干好事，嘿嘿嘿！1 Q. f! [/ ~" y5 |2 K& c
我个人是喜欢政府和企业网站的，因为他们的漏洞是很大的，像这样的网站留着漏洞，很不安全的，所以我们给他友情检测一下，其实我们都是好人啊！谁说我装B,我跟他急啊！废话不说开整。; Z5 d% e3 Z4 B! ~8 L) ?" q) I" |/ R- ?3 }
我找到了一个政府网站：www.*****.gov.cn用旁注查看了下，居然只有这一家网站，不管他继续搞它。打开后，我就开始四处游荡的像跑马一样找注入点，结果人品好，第三次就找到了一个：http://www.******.cn/******/****.asp?id=*** 在这里说一下：asp?=数字这是很典型    然后用 and 1=1和and 1=2判断.明显的第一次返回正常，第二次返回不正常，这说明有戏，那还等什么啊？我受不了手工的麻烦，算了直接把啊D拿出来，一阵狂扫，admin跑出来了，接下来要猜解密码了吧？不，我的习惯是跑后台，你想啊：要是没有后台你还猜解个屁啊！你告诉怎么办？所以下一步我猜解后台，很快后台也出来了，两个后台地址，呵呵呵不错。接着我再回来猜解帐户和密码，工具就是工具，就是比手工的快啊！
我赶紧进入后台登陆页面进行登陆，进去了，呵呵呵呵！点击“全部展开”咦！我倒！真恶心，居然什么都没有，天啊！你杀了我吧！把另一个打开也是，顿时我无语了。当我我回到啊D猜解的后台看看时候，发现还有一个页面，于是打开了，我靠没有密码，是一个提供给企业建站的页面，可以修改企业信息，上传图片等等，呵呵呵，想到了什么啊？抓包？对，于是传了个图片进行明小子上传，这里说一下啊！上传的小马最好是要有密码的，防止别人夺走你辛辛苦苦的劳动成果。OK，接着是小马拉大马，成功了。赶紧进去看看，准备把那个有漏洞的页面删除的时候，出现了问题，居然没有权限，我倒！赶紧查看可写目录，我倒！不说了，我服了，另外3389端口也没有开，我也没有找到帐户和密码。很晚了，坐在电脑前一天了，脑子很乱，所以就没有继续下去，我肯定会继续搞他的。+ R" b: k/ Y0 M  x+ i1 a% z
先挂个黑页吧，通过小马上传了一个黑页，不过挂在了子页上，因为没有权限挂主页。5 d  Y9 A2 U  n- D4 ^

[ 本帖最后由上帝的爱于 2008-9-7 09:47 编辑 ]

作者: 上帝的爱 时间: 2008-9-7 01:26

有时间接着搞它，非射死它不行

作者: 3ast 时间: 2008-9-7 08:38

哈哈，喜欢看上帝之爱的入侵文章.....

作者: 上帝的爱 时间: 2008-9-7 09:39

我这篇文章只讲思路，因为我前面已经写了几篇拿shell的文章，所以这里就一笔带过了。# `' E7 [8 `- B
* P% S# L6 a* W8 v6 Q9 z
[ 本帖最后由上帝的爱于 2008-9-7 09:44 编辑 ]

作者: 上帝的爱 时间: 2008-9-7 09:43

http://www.3ast.com.cn/viewthread.php?tid=265&extra=page%3D19【[原创]手工入侵某家具网】
http://www.3ast.com.cn/viewthread.php?tid=264&extra=page%3D19【[原创]入侵某省煤炭工业】
http://www.3ast.com.cn/viewthread.php?tid=263&extra=page%3D18【原创]友情检测某市公安局网站】7 {& {9 Y+ ]' ?0 o) |

, P/ e" `& T% I: S S' d( V
有不懂的可以看看这三篇文章

作者: didi19890323 时间: 2008-9-7 12:37

我想问一下，怎样修改自己的ip，不让网站检测到我们的ip

作者: 上帝的爱 时间: 2008-9-7 14:10

可以用代理的vpn，我发现这是不错的，我试验过，立马跑美国去了

作者: 柔肠寸断 时间: 2008-9-7 20:20

我去过瑞典，呵呵

作者: 在意z 时间: 2012-5-16 00:24

谢谢楼主分享技术。。

欢迎光临【3.A.S.T】网络安全爱好者 (http://3ast.com/)