第十五章 漏洞上传(1 / 2)

 在黑客口中,入侵是一门艺术。</p>

杨天虽不认同这种说法,却也不得不说,入侵是门技术活。</p>

不过研究了这么多年计算机,对于网站入侵,杨天了解的还是很透彻的,总结下来,不外乎5种入侵方式。</p>

漏洞上传,暴库,漏洞注入,旁注,bsp;像先前,华锋所用的方法就是漏洞上传的入侵手段,使用的domaIn软件,更是经典的漏洞上传软件,只要熟悉网站上传漏洞,便可利用软件,轻而易举的拿到eBsheLL,顺而取得服务器的最高权限。</p>

因此,当杨天坐下之后,沉思片刻,同样采用了华锋所用的漏洞上传的入侵办法。</p>

这种入侵方法,简单而直接,暴力而高效,但一般人不容易做到,因为要的,你需要了解网站模板漏洞。</p>

杨天打开网站,先是细细的查看了一遍,虽然不怎么认识菲律宾语,但网站模板全世界公用,都是一样的,也能粗略的了解这个网站的信息。</p>

去掉域名后缀,杨天现这并不是一般的提供个人主页的服务性网站,而就该是个人架设的网站,心情不由稍稍放松。</p>

黑客,杨天不想做,如果这网站是大型服务性网站提供的个人网站服务,那就代表着杨天需要先入侵整个网站的主服务器才能得知网站申请者的相关信息,可是这样的行为,也就与黑客入侵无异了,无疑是杨天不愿意做的。</p>

不过想来也是,按照杨天的记忆,开出爱虫病毒的是个普通的菲律宾大学生,有这么一手技术,自然很注重个人网站的维护和安全,不会选择那种开放式的大型服务网站。</p>

但这样的网站,十有**就是架设在拥有者自己的主机上,什么时候关闭完全不可预测,因此杨天若是想入侵这网站,还需要注意时间。</p>

华锋选择的用漏洞上传的方法,其实也是很明智的,毕竟这种入侵方法根本没有彻底杜绝的方法。</p>

各大网站,尤其是论坛,或者门户网站,都会提供注册,个人中心等服务内容,而这种服务,一般都会允许用户上传东西,用于帖,或者上传头像等功能,而这,便给黑客提供了入侵机会。</p>

好比你在门户网站上注册个用户名,然后上传头像,一张普普通通的图片文件,黑客就可以利用特殊手段,在图片文件中捆绑木马程序,或者直接把可执行木马程式通过修为后缀名等方式,伪装成图片文件,上传至网站的服务器。</p>

而一旦成功上传,黑客便可借助安插在网站服务器内部的木马程序,达到各种目的,或是留下后门,或是获得管理员权限,或是直接摧毁服务器。</p>

不过这种手段,在有意预防的情况下也是可以杜绝的,比如眼前的这个网站,one1adeguzman就是在上传程序中嵌入了检索过滤程式,类似于黑客的扫描程序,可以对上传的文件进行扫描,当分辨出含有木马程序,便拒绝上传,已达到阻止入侵的目的。</p>

杨天看过了,one1adeguzman设计的这个网站很简单,没有太多的深层页面,但似乎是因为还在上大学,架设网站是为了结识更多人的缘故,开放了一些浏览者留言的功能。</p>

这个功能本也没什么,不过不知道是one1adeguzman故意秀技术还是怎的,便在留言模板中加入了表情选项,让留言者可以选择各种各样的表情进行留言。</p>

当然,这也没什么问题,真正有问题的是,one1adeguzman在这个表情功能中,还捎带提供了留言者可以上传大小受限制的gif格式的图片文件,给了华锋入侵网站的机会。</p>

杨天点开了这个功能,现只是限制了上传大小,2okB,其余的,就没有什么限制。令杨天一时之间几乎觉得,这是one1adeguzman有意留下的陷阱。</p>

“你看到了吧,就是这个地方,我先前以为挺好入侵的,但没曾想,捆绑了冰河的木马竟然直接被拒绝,我调阅了脚本文件,才现这家伙可能设置了检索程序,还是用汇编写的,过滤功能强的不像话,只要文件是捆绑的,不管用的什么方法,直接就拒绝掉了。”华锋坐在一旁,见杨天注意起了留言选项,出声说道。</p>

杨天点点头,却也没有多想,在华锋的指引下,拉出了他准备上传的gIF文件,现捆绑的冰河木马似乎是个修改版本,很小巧,却很有效,倒是那种极为适合捆绑的木马程序。</p>