黑客入侵思维官方网站全过程 一直想找个稳定的程序建立一个网站,来到了源码之家,看到一个叫“思维(CMSware)内容管理系”的程序,PHP MYSQL搭建的,看起来还不错。就来到了官方看看程序怎么样。
官方地... 08-10-08
成功登陆,之后就是wp的后台拿webshell了,很简单有文件编辑功能。
图15
图16
在目录里选一个不常用的文件来编辑,填写在编辑文件前面的文本框里,我在网上找了个国外的php木马,写入成功
图17
一个国外的phpshell。查看了下是unix服务器。提权不做了,未必能成功,继续做,目的也不明确了。最后在查看一次目录的时候发现有个config.php居然可以读取,不知道可不可写,估计可以,这个文件的属性应该是777的。我没有测试,要是可写,这个过程更简单了,那么也更可怕了。
图18
总结:一个小小磁盘遍历的程序错误可以攻陷一个网站甚至是服务器安全,笔者在发稿前已经e-mail通知思维官方,其实千里之堤毁于蚁穴,不仅仅是思维的管理员要注意,希望所有的管理员都注意。
相关文章:
-
-
-
入侵金奔腾公司网站实例(图) 打开网站发现IIS设置了允许目录浏览,这就好办了。服务器上的文件全在我们眼皮底下了。
…
-
-
-
对著名快递公司的艰难的oracle入侵过程(图) 轻车熟路
一个对新飞鸿有意见的亲密朋友找我说能不能把这个公司的网站给搞了,我一听公司,心想,企业站都是垃圾,好搞,便痛快…
版权声明:本文内容由互联网用户贡献,该文观点仅代表作者本人。本站仅提供信息存储服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 2386932994@qq.com 举报,一经查实将立刻删除。
我要评论
发表评论