大型网站优化策略
详解来自Autorun的攻击
October 22, 2007 12:04 | by
文章作者:fhod (转载请注明来源)
朋友让帮忙拿一个站.说了很久了..今天才抽时间看了下站..通过搜索网站关键字..查看网页源文件知道了这套程序叫"手机网上销售网站管理系统源码"
演示网站:http://www.wygk.cn/shop2
下载地址:http://www.wygk.cn/dow/shop2.rar
下了个源码看看能不能找到利用的...结果在根目录看到有个aspcheck.asp
这个ASP程序是判断你的空间上的文件有没有被改动。主要是对付插入式asp后门和查找被入侵者添上恶意代码的网页
默认密码ilove!@#0326
赶紧打开目标站试了下..页面存在..而且密码也没改..
提取当前文件信息到这个文件:aspcheckinfo.txt
提交后就会下载aspcheckinfo.txt
而这个文件内容是这个网站所有目录和文件...有了信息对入侵也有了帮助..我也通过查找数据库路径破得管理密码..进了后台..上传jpg的马..备份还原asp拿到shell
最后提一下..如何找到这样的站
baidu搜索
·如果你同意以上所列的条款,请按本页最下方的【我同意】按钮
我测试了10几个...默认密码都没改....因为很多人都认为这个东西没多大危害...但却为我们的入侵提供了便利
朋友让帮忙拿一个站.说了很久了..今天才抽时间看了下站..通过搜索网站关键字..查看网页源文件知道了这套程序叫"手机网上销售网站管理系统源码"
演示网站:http://www.wygk.cn/shop2
下载地址:http://www.wygk.cn/dow/shop2.rar
下了个源码看看能不能找到利用的...结果在根目录看到有个aspcheck.asp
这个ASP程序是判断你的空间上的文件有没有被改动。主要是对付插入式asp后门和查找被入侵者添上恶意代码的网页
默认密码ilove!@#0326
赶紧打开目标站试了下..页面存在..而且密码也没改..
提取当前文件信息到这个文件:aspcheckinfo.txt
提交后就会下载aspcheckinfo.txt
而这个文件内容是这个网站所有目录和文件...有了信息对入侵也有了帮助..我也通过查找数据库路径破得管理密码..进了后台..上传jpg的马..备份还原asp拿到shell
最后提一下..如何找到这样的站
baidu搜索
·如果你同意以上所列的条款,请按本页最下方的【我同意】按钮
我测试了10几个...默认密码都没改....因为很多人都认为这个东西没多大危害...但却为我们的入侵提供了便利
aaa
October 25, 2007 08:47
Data\#buy2#guest#data.asp 数据库是怎么下载的呢?
Pages: 1/1 
1 
1
