很多朋友玩社工都很厉害,社工是攻击中的一种特殊应用,入侵+社工的攻击模式如果利用的好,可以所向披靡,本次的安全检测就是一次简单的尝试。话说某日我在网上胡乱搜索的时候,突然看见有一个php的连接,就忍俊不住的进去看了看,一看不要紧,事情就随之而来了,于是就有了此文!
(一)安全检测
1.操刀上阵——我的“三板斧”
当我看到了链接地址http://www.AAA.com/BBB/CCC.php?pid=XXX,就试了试在其地址后丢了个单引号,随之绝对路径就被泄露出来了,俺的第一板斧就把敌人弄了一个脑震荡,嘿嘿!(有时候可能不会简单的一个单引号就暴露路径,你可以试试随便输入一些东西,当然自己灵活 运用),路径:F:AAABBBbbs6.1CCCdb_mysql.class.php,如图1所示。
图1 三板斧之一获取路径
2.无敌掌——信息分析和收集
目录中以“bbs6.1”命名,bbs不是论坛的意思么?这时我打开了http://www.AAAA.com 最下方显示的是:Powered by AAA!6.1.0,虽然他改了,但是我们还是可以看出这是一个DZ的论坛。呵呵,上次记得我就发现了一个DZ6.1的论坛存在注射,当时我问了宝哥才知道是插件的原因,但是这个不是,因为BBB目录不是论坛程序,而是另外一个文件目录。
3.无影腿——SQL注入测试
版权与免责声明
1、本站所发布的文章仅供技术交流参考,本站不主张将其做为决策的依据,浏览者可自愿选择采信与否,本站不对因采信这些信息所产生的任何问题负责。
2、本站部分文章来源于网络,其版权为原权利人所有。由于来源之故,有的文章未能获得作者姓名,署“未知”或“佚名”。对于这些文章,有知悉作者姓名的请告知本站,以便及时署名。如果作者要求删除,我们将予以删除。除此之外本站不再承担其它责任。
3、本站部分文章来源于本站原创,本站拥有所有权利。
4、如对本站发布的信息有异议,请联系我们,经本站确认后,将在三个工作日内做出修改或删除处理。
请参阅权责声明!