欢迎光临本站

多彩网

您现在的位置是:首页>娱乐动态

娱乐动态

黑客教你3分钟获取微信密码 黑客盗一个微信号要多少钱...

 小弟我初次学习黑客技术,苦于找不到师傅,只能自己慢慢的摸来摸去(感觉像xx找不到洞),看着漫天飞舞的黑客 ,感觉就像看上帝,突然有一天突发奇想,别人既然把某个网站或者某个程序拿下来让大家down ,那不就意味着这个程序也许存在着重大的漏洞,即使是通过系统漏洞拿到的程序,我想 ,既然程序都在我手里了,尤其是对于某些需要输入用户名密码才能进入的某些系统,应该也能找到一些可以利用的漏洞。既然有了想法 ,说干就干,先看一下某一个国家xxx局的国家级信息网站。 

  对于菜鸟来说,高级黑客就是我们的上帝 ,他们提供的各种入侵工具 ,让我们的入侵变得极为简单,例如海洋木马,我们只需要想想怎么把他上传上去就行了 。 

  废话少说 ,现解压缩这个文件到自己机器上--晕,900M的压缩包,吸根烟 ,自己煮方便面吃,回来,解压缩好了 ,然后恢复数据库,iis配置一下,在自己机器上运行看看 ,运行正常,程序完整。 

  先按照最傻的思路,看一下他的数据库连接语句 ,发现用户是sa ,密码是xxxxxx,然后用sqlexec连一下,提示不正确——废话 ,这么长时间了,而且说不定知道自己的网站已经流传,网管都不修改密码 ,那不是sb是什么? 

  然后再朝最基本的网站攻击方式,上传asp木马来考虑。搜索一下我机器上那个网站文件中间所有文件名含有up的文件——发现n个upload.asp,uploadfile.asp ,upflie.asp,打开文件所在文件夹,发现用的是无组件上传 ,如果没有经过修改,这个上传是无法限制上传asp程序的,厚厚 ,开始一个一个看 ,仔细研究一下,发现有很多地方限制了,但是有两处没有限制——失误啊失误 ,一处是文章管理,只有管理员添加文章时候可以上传,打开数据库 ,找到管理员表,发现只有一个admin管理员,密码是md5加密 ,暂时放弃 。然后就是一个投资管理平台,是按照省份划分的,找到用户表 ,发现密码是明文,先用湖南省的用户名密码登陆,tnnd ,修改了 ,没关系,一个一个试验,哈哈 ,运气不错,找到一个xx省的,用户名密码没有修改 ,进入平台,到了我自己的发布管理中,提交信息 ,发现有上传图片,用的正是刚才找到的upload.asp文件,实验上传一下 ,成功。 

  以后的操作就简单了,找到conn.asp发现居然还使用sa用户连接,密码换了一个 ,没说的 ,sqlexec连接,成功,执行cmd命令 ,呵呵,也成功,网管真的是个xx ,此后添加用户,开3389,留后门 ,自是后话。发现上面有很多系统和网站,收获颇丰 。 

  不过过了几天,发现我上传得asp木马——不管多隐蔽的都被删除了(经过修改的 ,防病毒软件应该找不到吧),晕,可能管理员经常察看iis日志 ,还是什么原因 ,后来用了冰狐浪子的可以,又用了插入到图片中的方法加上映射,也可以 ,而且给自己留了n多用户,以备使用。