记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

对国外黑客论坛 hackerstown.com 的一次测试

2013-01-24 17:05
对国外黑客论坛 hackerstown.com 的一次测试 - Masako Jun - 7z1@EvilShad0w
 

最近太忙了,一直没更新博客!先谈谈气候吧,尼玛南方冷死了!我现在是出门穿再多都哆嗦啊!

日,你什么时候来啊,我还是喜欢大热天吹电风扇,擦~ 大热天还可以裸睡,多爽! 厄 .  sorry ...  hackerstown.com - Masako Jun - 7z1@EvilShad0w

好吧,不扯谈了,对于为什么突然日这个站,其实还是前几天在看我网易博客的时候突然又看到之前一老外在我网易博客"About EvilShad0w Team" 这篇日志下留言并留了个地址,如图:


厄 .  sorry ...  hackerstown.com - Masako Jun - 7z1@EvilShad0w
前几天就看到这条评论,就点开了网址看见是个黑客论坛,板块内容还比较丰富,其中很多文章都还不错,突然试试入侵,于是先看他是什么程序吧。 通过分析论坛结构,确定为“MyBB”,于是通过之前收藏的一个国外exploit 公布站搜索了下这个程序,结果出来了很多 ,有 SQL注入、信息泄露、XSS、远程代码执行。但一一试过,都无效。貌似已经大全补丁了。好吧,该我自己整合的字典上阵了!扫描完后发现路径都是一般常见的路径,我一一点击尝试访问都出现403 Forbidden,在访问其中 xxxx/的时候发现根路径泄露
厄 .  sorry ...  hackerstown.com - Masako Jun - 7z1@EvilShad0w

 还有目录遍历,然后再点击三级目录发现上传页面,只能浏览当前目录,并且禁止了上传,只能重命名文件还有写txt文件, 尼玛! 我通过一个小页面写入txt文件,但是无法重命名,这时候我发给Liuker一起看,我俩啥后缀都试过了就是不能解析,一定是做限制了,在写文件的时候尝试跳目录也没成功,突然想到上传 .htaccess 来解析 jpg类似正常后缀突破,但是测试了下失败!Liuker用他字典扫到两个根目录的无内容PHP页面,通过一句话后门破解也没成功。My God…………厄 .  sorry ...  hackerstown.com - Masako Jun - 7z1@EvilShad0w
继续吧,翻了翻当前的目录,发现了有几个压缩文件。
厄 .  sorry ...  hackerstown.com - Masako Jun - 7z1@EvilShad0w
 
 
其中下载了一个100多MB的文件打开一看,尼玛新的。在下载1G的压缩包,擦!等了两个钟头才下完了,解压出来翻了翻根目录的文件,发现之前我们上传文件的那个页面是一个微型的第三方上传页面,管理员禁止了上传,还写了.htaccess 文件限制,其实我们想到的他也想到了……
继续翻根目录下的文件,发现一个php脚本中有上传文件功能,Yes!写了个一句话,就这么搞定了! 这次算运气算不错吧!

厄 .  sorry ...  hackerstown.com - Masako Jun - 7z1@EvilShad0w
不但拿了站,发现这个管理员安全意识也挺薄弱的,GMAIL 我登入进去了,但是那家伙绑定了手机,作罢!但是我还是成功上了他的推特,开了个玩笑!
厄 .  sorry ...  hackerstown.com - Masako Jun - 7z1@EvilShad0w
 

剩下的你们懂的,脱了五千多个论坛账号,还不错,随便翻了翻大多都是国外黑客账号密码邮箱什么的,数据在这就不公开发布了,免得那些国外大黑阔社我黑我,5000个黑阔 !怕怕!!!!!!! 厄 .  sorry ...  hackerstown.com - Masako Jun - 7z1@EvilShad0w
对国外黑客论坛 hackerstown.com 的一次测试 - Masako Jun - 7z1@EvilShad0w
 
Happy New Year  ! 
知识来源: www.mcbang.com/article-15240-1.html

阅读:163759 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“对国外黑客论坛 hackerstown.com 的一次测试”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

学习黑客技术,传播黑客文化

推广

工具

标签云