入侵网站:渗透源码出售站点

题外话:

最近想做几个垃圾站玩玩。可手上又没有啥好程序。郁闷。

那些网上免费的程序又没多少好玩意。

百度看看网上谁卖程序。方便的话,搞几个下来玩玩好了。

一:小碰头:

百度上找了一会, http://www.200ym.cn/

看到这个站上有几个我喜欢的程序。

咋办?试试看吧。

当时一看这站,哪像个出售源码程序的站。这么丑。用的啥系统我想大家不说我说也知道了吧。

 当然,人家手上既然有这么多源码,想必也是通过自己的入侵手段搞来的。

那他的主站也基本上就不需要看了。

 随便在一个url上添加个单引号出现了这个。加了防注入了.

 算了。不错主站入手了。

拿出我们最喜欢的东西吧。

 http://www.seologs.com/ip-domains.html   (http://www.114best.com/ip)

 查到同一服务器上有这些站。

有53个站。心里开心了。旁注有望啊。

从主站也得知这些网站都是网站管理员的出售中的程序。

所以给他们分配的也都是2级域名。大家会想了。2级域名?会不会如果直接搞定一个webshell,就可以得到所有程序呢?因为他们这些演示站点或许会是在主站的下级目录吧。

当初我也这么想的。先不说这个了。

下面我们开始吧。

我首先瞄准了http://lianyun.200ym.cn/

大家看到了什么?

对,论坛。而且是动网7.1的。

不是吧?这么简单就可以搞到一个webshell了？还卖源码呢.唉。

动网默认的密码就进去了。

咱们登陆后台拿webshell吧。

Dvbbs7.1首先考虑后台导出模板然后备份拿webshell.

 然后就导出了。问题也就来了。

去看看备份数据库那里能否备份。是可以备份的。

导出模板不可以。上传文件总还是会允许的吧?

结果无论我上传什么类型的文件。无论我怎么伪造文件。都显示这个。难怪管理员会这么放

心的把密码设为默认的。我想大概是方便购买的人查看吧。

[1] [2] [3] [4] 下一页