我爱电脑技术论坛 » 网络安全区 » 友情检测新疆煤炭工业（图解）

不和人说话 发表于 2008-6-22 09:43

友情检测新疆煤炭工业（图解）

着无聊的时候在网上随便逛，无意中打开一个网页[url]http://www.xjkspx.com[/url]新疆煤炭工业,就试试看能不能弄下它,开始找注入点，找了半天，总是很无奈，哎！难道要放弃！那怎么行啊！H9CG6z-y1i;L2r
于是我在观察这个站，无意之中发现由一个“信息管理“的地方，估计这就是管理后台进入的通道，于是打开看看，终于看到了后台页面，呵呵呵！直接万能钥匙，我晕，打不开，那试试admin，进入了。人品好啊！没办法!
!Ln!K IyP ^.M1l#B!z 直接进入了后台，那接下来就不要我说了吧！找到了：信息管理，直接打开，找到：添加信息，上传图片抓包，于是随便上传了个图片抓了包，之后，打开明小子，用明小子上传，把cokkies粘贴到cookies栏里，开始上传，我没有用默认的大马，我用了华夏的大马，呵呵呵！咱们论坛的东西我放心，上传成功，于是得到了webshell!e&}i-@
N,UU2p_

EFaKi5Z [attach]32780[/attach]
E)H`*]oE7\fw |Dm1Vz
[attach]32781[/attach] KHUa,fEHo

] g&Fs3[%h#F9Rj [attach]32782[/attach]
Yo1?~f0D!p%} )v x)m&V Za1_,T
  
+F9rj8tM yK N 得到了webshell，剩下的不要我说了吧！奥运期间，不敢胡搞，黑页也不敢挂，闪人
8aE/Kvi_6J} 没有射门技术含量，运气成分很多，但主要是管理者安全意识薄弱
k0hr"V}-X$NkdD%p 我的目的是说：一定要多观察，看看网页中是否有可以利用的，有时间是省下你很多麻烦的.另外抓包这个方法还是很简单的，适合刚入门的新人
g_0F}]A-E9f9q 0H,rz \%CrB,~
转自华夏

查看完整版本: 友情检测新疆煤炭工业（图解）