萬盛學電腦網

 萬盛學電腦網 >> 黑客技術教程 >> 入侵實例 >> 實例分析:一次利用社會工程學的入侵

實例分析:一次利用社會工程學的入侵

  看到這個題目可能很多人感到奇怪:黑客不是都在埋頭學Perl、溢出、SQL注入……?怎麼又來了一個社會工程學?

  下面我們就來聊一下社會工程學入侵:

  當然,社會工程學的原本意思我就不詳細解釋了,因為我看了很久都沒有看出是什麼意思來,枯燥的厲害,是架著眼鏡的老先生研究的問題,我們不去考慮。我們說的是社會工程學在信息安全方面的實現。

  基本的意思就是:利用一切途徑、手段,搜集攻擊目標的資料,然後利用已知資料攻陷對方。比如某某網站的站長在他那裡發表了很多不利於我的言論,要是他在我面前,我立刻會撲上去咬死他(好在不在我面前,呵呵),但是我卻是一個技術菜鳥,什麼注入、溢出、腳本之類的一點也不懂,怎麼辦?就此罷休?——當然不!下面就看我是如何搞定一個網站的。OK,Let’s go!

天極軟件專題專區精選 Windows Vista專區 POPO專區 QQ專區 QQ掛機 注冊表專區 Windows優化 Flash MX 視頻教程 Photoshop視頻教程 網頁設計視頻教程 照片處理數字暗房 PPT動畫演示教程 Excel動畫教程集 Word動畫演示教程 Google專區 特洛伊木馬專區 黑客知識教程專區 防火牆應用專區 了解Web2.0 Windows API開發專區 網絡編程專區 VB數據庫編程專區 圖像處理與多媒體編程

  首先……打開我要攻擊的網站,首先看看各個頁面,浏覽一下。就好比小偷在下手之前要先查看一下身邊的地形、人群一樣,就是“踩點”了。首頁做的不怎麼樣,有個新聞系統,點一條新聞之後彈出頁面,看了就很熟悉。在www.target.com/news 後面添加admin進入管理目錄看看,因為很多管理系統這個都是默認的管理目錄。結果無法顯示,又用admin.asp和login.asp這兩個使用頻率很高的文件,也無法顯示。結果一看浏覽器的標題欄,赫然寫著“業一新聞系統2.9增強版”!好像網上比較多哦。下載一個看看!

  立刻上www.baidu.com搜索一下“業一新聞系統2.9增強版”。找到了用這個做新聞系統的,但是沒有找到這個的下載,但是找到了他們的官方網站,於是下載了一個“業一新聞系統2.9專業版”,應該都差不多吧。

  有個“安裝說明”,打開看看(圖1):

  上面的三處地方:

  A、我們知道了後台管理的文件是m_login.asp,為進入後台奠定第一步,否則即時有管理員權限也沒有地方管理 J

  B、默認的用戶名和密碼,這年頭真的有人不修改就直接用的,我以前曾經用默認用戶名和密碼黑過不少留言本和其它類似的系統。

  C、默認的數據庫名稱news.mdb,是Access的數據庫,在浏覽器可以直接下載的。

  現在我們開始第一步,進入www.target.com/news/m_login.asp,顯示出要管理員登陸的界面。用默認的用戶名admin、密碼admin看看,提示錯誤。然後呢?在浏覽器寫上www.target.com/news/news.mcb就是默認的數據庫路徑了,回車。

123下一頁閱讀全文

copyright © 萬盛學電腦網 all rights reserved