版权所有: 软件版本:动画 文件大小:3.79MB 操作系统:win9x/NT/2000/XP 下载说明: 破解留言板动画 以下测试均针对ASP留言板。 1.利用留言板程序漏洞可任意修改版主密码 http://127.0.0.1/Lhgb/modifyok.asp?user=darkeyes&pass=1234&zhanzhang=darkeyes&kind=1&email=1@163.com&web=localhost&url=localhost&intro=hello 这个漏洞是lcx发现的,下面我给大家演示一下。找一个目标站点,这里我己经找到了一个,找到版主edsion121,利用上面的语句修改密码,提示修改成功,新密码为pass=1234。 用新密码进去看看,登录成功。 下面我们用post攻击来改密码,把这个文件的源代码保存为post.html,value="123456"。现在我们要把密码改成123456,保存修改好的post.html,打开,提示资料不全,随便填完整,成功了,密码己经改成123456了。 2.下载默认的数据库 继续以这个留言板来说明问题。这里我己经下载了此留言版的源代码,我们可以看到默认的数据文件为lhgb11db,不过这里要注意,后缀为mde。把lhgb11db.mde填进地址栏,即可下载数据库。下载完后我们用Access打开,admin中就为管理员的密码,user中为各个版主的密码。其它很多留言版用的都是默认的数据库,只要是mdb或以mde为后缀的,我们都可以下载到。 3.脚本攻击 在[img][/img]中加入一段javascript代码,就可以弹出一个提示框。我们再添加一个循环语句,提交[img]javascript:for(i=0;i<=5;i++){alert("hello");}[/img],就会连续弹出6个提示框,当然你也可以改得多一点,比如说把i<=5改成i<=101,这样就会弹出102个。不过这要求留言版要支持UBB才行,而且要没有做过过滤。 对留言板的攻击基本上就这些,希望大家能灵活运用,但不要恶意破坏。
立即下载
关于我们 / 合作推广 / 给我留言 / 版权举报 / 意见建议 / 广告投放 / 友情链接 Copyright ©2001-2006 Lihuasoft.net webmaster(at)lihuasoft.net 网站编程QQ群 京ICP备05001064号 页面生成时间:0.00179