职业IT人-IT人生活圈

 找回密码
 成为会员
搜索
查看: 2263|回复: 7

新人0起步接触黑客-4《绝对暴库》

[复制链接]
小高 发表于 2010-6-24 19:43 | 显示全部楼层 |阅读模式
随着前三篇文章的诞生,大家想必对黑客有了一定的了解了吧,今天就来讲下以前的一个漏洞,但是很经典,现在也有不少网站仍然存在这样的漏洞。就是暴库漏洞。

什么是暴库呢?就是利用不正当的手段使对方把数据库的绝对路经显示出来,然后我门知道了绝对路径,就可以下载下来,这样这个网站的数据库中的资料就被我门轻松掌握了。

那么怎么样使用暴库呢?这个在新人2中有介绍,今天就来说说具体的用法。首先要知道怎样才能暴库呢?那就是把网站的第一个/换成%5c,如果有漏洞就可以直接显示出数据库的绝对路径了,我们把绝对路径中数据库的部分写到网站后面就可以下载数据库了。还有一种方法,就是填写默认的数据库路径,就是conn.asp这样的默认数据库路径,每种形式的论坛,都有自己默认的数据库默认路径,大家去网上随便找找就可以找到了。但是在这个conn.asp默认路径的前面也是要把/换成%5c的。

为什么暴出来的数据库后缀名是.asp形式的?这个是经过修改的,可能做了防下载处理,大家还是先把默认的路径添上以后看显示什么,如果没有做过防下载处理,会显示一堆乱码,大家可以把地址复制下来用讯雷下载下来,把.asp换成.mdb就可以打开了。

为什么我暴出来数据库路径,也添入了正确的路径下载不下来啊?数据库路径是这样的D:/web/abc/#sjgf.mdb。这个是因为其中有个#在作怪,在ASCII中#相当与00 ,终止的意思,这里大家可以把这个#换成%23就可以下载了。

为什么我暴出了数据库,地址什么都写对着呢,还是下不了啊?那么可能是因为数据库做了防下载处理,所以下载不下来。

为什么下载下来的数据库要求输入密码呢?是因为数据库进行了加密,破解很简单,明小子的DOMIAN就有破解功能。

得到数据库有什么用呢?用处大了,比如是个论坛的数据库,里面就记录了所有论坛里的信息,而我们需要的大概是ADMIN的信息吧?呵呵,还=什么呢啊?快去打开数据库中admin的啊,看下ADMIN的用户名,然后在user里把ADMIN的ID找出来,然后就可以以他的身份登陆论坛了哦!

今天就做了暴库的一点问题,大家回来自己联系下。不过现在有暴库漏洞的站很少了,但是作为一种技术我们必须掌握!
会玩就好 发表于 2011-7-29 10:32 | 显示全部楼层
我又回复了
yoyo 发表于 2011-7-30 10:56 | 显示全部楼层
要睡觉了 呵呵
gz-vps 发表于 2011-8-4 12:29 | 显示全部楼层
我是来收集资料滴...
月上萧萧 发表于 2011-8-5 12:26 | 显示全部楼层
不是吧~~~~~
话说我当年 发表于 2011-8-5 12:27 | 显示全部楼层
唉!猪!你怎么了?
郁闷小男人 发表于 2011-8-7 11:39 | 显示全部楼层
回来了 呵呵刚才在斗地主那 ~~~~
愚人 发表于 2011-8-13 11:25 | 显示全部楼层
额~哦........偶无语
您需要登录后才可以回帖 登录 | 成为会员

本版积分规则

QQ|手机版|小黑屋|网站帮助|职业IT人-IT人生活圈 ( 粤ICP备12053935号-1 )|网站地图
本站文章版权归原发布者及原出处所有。内容为作者个人观点,并不代表本站赞同其观点和对其真实性负责,本站只提供参考并不构成任何投资及应用建议。本站是信息平台,网站上部分文章为转载,并不用于任何商业目的,我们已经尽可能的对作者和来源进行了通告,但是能力有限或疏忽造成漏登,请及时联系我们,我们将根据著作权人的要求立即更正或者删除有关内容。

GMT+8, 2024-3-29 02:58 , Processed in 0.127813 second(s), 20 queries , Gzip On.

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表