会员: 密码:  免费注册 | 忘记密码 | 会员登录 网页功能: 加入收藏 设为首页 网站搜索  
安全防线 > 攻防演示
留言板动画教程
发表日期:2005-06-07 23:38:23文件大小:3.79MB 下载次数:5361  

版权所有:
软件版本:动画
文件大小:3.79MB
操作系统:win9x/NT/2000/XP
下载说明: 破解留言板动画   以下测试均针对ASP留言板。   1.利用留言板程序漏洞可任意修改版主密码   http://127.0.0.1/Lhgb/modifyok.asp?user=darkeyes&pass=1234&zhanzhang=darkeyes&kind=1&email=1@163.com&web=localhost&url=localhost&intro=hello   这个漏洞是lcx发现的,下面我给大家演示一下。找一个目标站点,这里我己经找到了一个,找到版主edsion121,利用上面的语句修改密码,提示修改成功,新密码为pass=1234。 用新密码进去看看,登录成功。   下面我们用post攻击来改密码,把这个文件的源代码保存为post.html,value="123456"。现在我们要把密码改成123456,保存修改好的post.html,打开,提示资料不全,随便填完整,成功了,密码己经改成123456了。      2.下载默认的数据库   继续以这个留言板来说明问题。这里我己经下载了此留言版的源代码,我们可以看到默认的数据文件为lhgb11db,不过这里要注意,后缀为mde。把lhgb11db.mde填进地址栏,即可下载数据库。下载完后我们用Access打开,admin中就为管理员的密码,user中为各个版主的密码。其它很多留言版用的都是默认的数据库,只要是mdb或以mde为后缀的,我们都可以下载到。   3.脚本攻击   在[img][/img]中加入一段javascript代码,就可以弹出一个提示框。我们再添加一个循环语句,提交[img]javascript:for(i=0;i<=5;i++){alert("hello");}[/img],就会连续弹出6个提示框,当然你也可以改得多一点,比如说把i<=5改成i<=101,这样就会弹出102个。不过这要求留言版要支持UBB才行,而且要没有做过过滤。   对留言板的攻击基本上就这些,希望大家能灵活运用,但不要恶意破坏。

立即下载
下载的书籍需要相应的阅读器才能查看,请到如果你的机器上没有相应的阅读器,请到 图书阅读工具 栏目中下载相关的工具。

返回顶部】 【打印本页】 【关闭窗口

关于我们 / 给我留言 / 版权举报 / 意见建议 / 网站编程QQ群   
Copyright ©2003- 2024 Lihuasoft.net webmaster(at)lihuasoft.net 加载时间 0.0027