科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道无需拐弯抹角 直接入侵BBSXP论坛

无需拐弯抹角 直接入侵BBSXP论坛

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

关于入侵网站的方法,网上早已遍地都是,相信大家只要阅读并实践操作一下,侵入一家简单的网站应该没有问题。关于入侵网站的方法,网上早已遍地都是,相信大家只要阅读并实践操作一下,侵入一家简单的网站应该没有问题。

作者:佚名 来源:比特网论坛 2008年11月18日

关键字:

  • 评论
  • 分享微博
  • 分享邮件

  关于入侵网站的方法,网上早已遍地都是,相信大家只要阅读并实践操作一下,侵入一家简单的网站应该没有问题。不过对于论坛的入侵,很多人可能会首先选择寻找网站漏洞的方法,然后在层层渗透论坛。其实不用那么麻烦,我们完全无须检测网站,就可以直接入侵论坛。

  关于入侵网站的方法,网上早已遍地都是,相信大家只要阅读并实践操作一下,侵入一家简单的网站应该没有问题。不过对于论坛的入侵,很多人可能会首先选择寻找网站漏洞的方法,然后在层层渗透论坛。其实不用那么麻烦,我们完全无须检测网站,就可以直接入侵论坛。

  利用关键字搜索漏洞网站

  这里以BBSXP论坛为例,首先打开“Google”的官方站点,在其界面内输入“powered by bbsxp 5.15/licence”关键字,单击“搜索”按钮,此时便可搜索出一堆BBSXP论坛5.15版+Access数据库的论坛链接(图1)。

图1 搜索到关于BBSXP论坛的网站链接

  关于入侵网站的方法,网上早已遍地都是,相信大家只要阅读并实践操作一下,侵入一家简单的网站应该没有问题。不过对于论坛的入侵,很多人可能会首先选择寻找网站漏洞的方法,然后在层层渗透论坛。其实不用那么麻烦,我们完全无须检测网站,就可以直接入侵论坛。

  通过构造语句查看管理员密码

  接下来从中随便单击一个论坛进入,然后构造一个查看管理员用户名的语句,这里在网站域名后面输入blog.asp?id=1 union select top 1 1,[username],1,1,1,1,1 from [user]回车后,就可查询到管理员的用户名(图2)。

图2 查询到Xf管理员用户

  然后我们在构造查看其管理员用户的密码语句,在地址栏处使用blog.asp?id=1 union select top 1 1,[adminpassword],1,1,1,1,1 from [clubconfig]替换上方查询用户名语句后,回车便可快速查看到其相对应的管理员密码(图3)。

图3 结果得到的密码被加密了

  关于入侵网站的方法,网上早已遍地都是,相信大家只要阅读并实践操作一下,侵入一家简单的网站应该没有问题。不过对于论坛的入侵,很多人可能会首先选择寻找网站漏洞的方法,然后在层层渗透论坛。其实不用那么麻烦,我们完全无须检测网站,就可以直接入侵论坛。

  解密MD5密码

  从图中大家可以清除的看到,所得到的密码以被MD5加密了,所以现在我们需要将其得到的加密密码复制后,进入到XMD5专业的解密网站,然后在把密码粘贴到界面文本内,单击“破解”按钮,即可得到解密成功的明文266266密码(图4)。

  图4 得到明文密码266266

  接下来获取前台管理员密码,这里我们可以利用Cookies欺骗的方法将其得到。首先在论坛注册一个普通用户账号,然后打开“明小子”工具,在上方“当前路径”标签处,将想要猜解的论坛地址,输入到后面的文本处,然后单击后面“连接”按钮,此时明小子编辑区就会显示论坛界面,我们从中将刚才注册的用户进行登陆(图5)。

图5 通过明小子工具登陆论坛

  关于入侵网站的方法,网上早已遍地都是,相信大家只要阅读并实践操作一下,侵入一家简单的网站应该没有问题。不过对于论坛的入侵,很多人可能会首先选择寻找网站漏洞的方法,然后在层层渗透论坛。其实不用那么麻烦,我们完全无须检测网站,就可以直接入侵论坛。

  利用工具读取管理员密码

  然后将上面记录的Cookies,全部复制并且粘贴到本地的一个空白记事本中。在切入至上方“辅助工具”标签,单击左侧“BBSXP暴库工具”标签,在“论坛地址”标签处,输入刚才注册账号的论坛地址,单击“读取账号密码”按钮,此时便可得到管理员账号和其加密密码(图6)。

图6 获取管理员账号和其加密密码

  接着打开载入Cookies记录的记事本文档,将里面“Username”等号后面的变量,替换成刚才得到的账号名,而“Userpass”等号后面的变量,则替换成刚才得到加密的密码。操作完毕后,顺原路返回到旁注检测界面,将记事本里的Cookies信息,复制粘贴到上方“Cookies”文本处(图7)。

图7 修改Cookie信息后的结果

  而后单击“修改”按钮,此时从图中你可以发线之前登陆的普通用户,居然变成了管理员用户。接下来单击上方“管理”标签,选择里面“登陆管理”选项,在弹出的“请输入管理密码”界面内,将之前破解的后台管理员密码输入进去,单击“登录”按钮,就可操控论坛后台(图8)。

图8 输入此前破解成功的后台管理密码

  看来论坛的安全也不过如此,因此我们以后在碰到这种论坛,无需首先选择饶行,看看是否存在欺骗Cookies的漏洞,没准幸运会降临到自己头上,也是说不定的事。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章