如今在網絡中,論壇已經成為互聯網中虛擬社會的基礎,它的出現為人們的交流溝通起到了更好的幫助作用。但是正是由於論壇程序的開放性,在方便用戶的同時,也為黑客留下了一道“邪惡之門”。知己知彼方能百戰不殆,本期我們就來分析黑客如何利用論壇漏洞獲得管理員密碼,讓我們以後能夠加強論壇的安全性。
黑客高手
怪狗,1999年開始自學計算機,並開始學習黑客技術。最早研究病毒源代碼、密碼破解和溢出攻擊技術。2001年建立了華夏黑客同盟(http://www.77169.com),2002年取得了北京大學計算機應用專業的學歷,現任站長以及華夏新科技公司CEO兼安全局技術顧問。
天極軟件專題專區精選 Windows Vista專區 POPO專區 QQ專區 QQ掛機 注冊表專區 Windows優化 Flash MX 視頻教程 Photoshop視頻教程 網頁設計視頻教程 照片處理數字暗房 PPT動畫演示教程 Excel動畫教程集 Word動畫演示教程 Google專區 特洛伊木馬專區 黑客知識教程專區 防火牆應用專區 了解Web2.0 Windows API開發專區 網絡編程專區 VB數據庫編程專區 圖像處理與多媒體編程入侵實戰
自從2004年動網論壇7.0.0 SP2以下的所有版本被發現存在上傳漏洞以後,又出現多個高危漏洞。就在今年,動網論壇又相繼出現多個重大漏洞。當最新版本中的admin_postings.asp文件被發現存在注入漏洞後,官方論壇卻沒有發布相應的補丁,可能是官方認為該漏洞利用起來比較困難,要前台管理員權限才能利用。
●前台權限提升
首先我們打開一個搜索引擎的網頁窗口,來搜索一個使用動網論壇的網站,在輸入框中鍵入“Powered By :Dvbbs Version 7.0.0 SP2”進行搜索。下面從搜索結果中找到一個使用該版本動網論壇的網站後,點擊鏈接進入這個論壇。我們需要注冊一個賬號,注冊完成後進入論壇。首先點擊工具欄中的“用戶控制面板”按鈕,接著點擊工具欄的“資料修改”按鈕,進入用戶的“基本資料修改”窗口。在“論壇頭像選擇”選項中任意選擇一個頭像,如圖1所示。
圖 1
123下一頁閱讀全文