专题: 主板 | CPU | 硬盘 | 内存 | 显卡 | 声卡 | 显示器 | 光驱 | 鼠键 | 电源 | 网络 | 死机 | 杀毒 | Win7 添加 WWW.SQ120.COM 到收藏夹

首页

菜鸟学堂

DIY乐园

故障专题

网络专区

软件专区

硬件专区

在线答疑
  您现在的位置: 首页>>网络专区>>新闻 >> 如何找到后台地址

如何找到后台地址

日期:2009-4-2 19:18:12     点击:

 

  虽然网上有很多网页有各种各样的安全漏洞,利用它们我们黑客可以暴出网站的账号和密码,但是经常会碰到找不到网站后台登录界面的情况,许多菜鸟做到这里就止步了。
  但这还难不倒我,如果我暴出的账号分配的有DB_OWNER权限,我就可以利用DB的目录浏览权限来读取服务器目录,从而找到后台登录界面(当然完成这个过程需要一定的耐心),登录后即可上传木马了。
  小提示:要上传木马,首先要成功找到网站系统后台地址,其次系统后台还要具备数据库备份以及上传功能。
A.查询入侵网站的权限类型
  首先在《啊D注入工具》(下载地址:http://www.cpcw.com/bzsoft)的“SQL注射检测”界面中,输入我们已经检测出该网站存在漏洞的网页地址,再点击“检测”按钮检测网站对应的信息,从程序窗口的“当前权限”中可以看到用户的权限为DB_OWNER(如图1)。如果网站的权限不是DB_OWNER就换一个网站试试。

B.找出后台地址
  接着,我们要查找出网站隐藏的后台地址。现在点击“相关工具”中的“目录查看”,在“检测位置”下拉列表中选择要进行查看的服务器分区。通过对每个目录的查看,发现系统的后台目录由Admin改成Admin_999。
  现在利用浏览器打开后台地址http://www.xxx.cn/admin_999/admin.Asp,并且利用先前已经得到的账号和密码进行登录就可搞破坏了。如果运气不好,该网站的后台并没有数据库备份以及任何的上传功能,我们就无法上传ASP木马(如图2)。

C.巧用WebEditor上传木马
  难道这样就算了?不!通过“目录查看”,在服务器查找其他有用的信息。结果我在D:\Webs04\Bjdfty\目录下发现了一个WebEditor目录。WebEditor是简单的网页编辑器,网络编辑可以用它对网站进行编辑。
  通过浏览器登录WebEditor(地址http://www.xxx.cn/WebEditor/admin_login.asp),接着在WebEditor的后台管理窗口中选择有编辑功能的样式,例如Standard,再点击后面的“拷贝”按钮复制该编辑样式(如图3)。

  找到复制出的编辑样式后,点击后面的“预览”按钮打开新窗口。点击窗口工具栏中的“插入图片”按钮,选择一个图片格式的ASP木马进行上传。再点击窗口下面的“代码”得到木马的链接(如图4)。用浏览器打开ASP木马的链接,最终我们就可以控制这个网站了。

守:DB权限要严格分配
  看了上面的讲解,是不是有一种豁然开朗的感觉。黑客就通过简单的点击鼠标,再加上那么一点点的分析过程,就通过DB_OWNER权限最终控制了网站系统。那么作为管理员以后该如何防范类似的攻击呢?
  小编在这里提醒各位网站管理员,要定时到官方网站下载安全补丁,修复已知的网站系统漏洞,不要让黑客轻易拿到具有DB_OWNER权限的账号和密码。
  当然,我们还要对网站管理权限进行设置。根据不同管理员的工作性质进行分配。比如是高级管理员,就可以分配DB_OWNER权限,以方便他对数据库进行备份操作。
  如果仅仅是一些网络编辑的话,那么就可以不分配DB-OWNER权限。由于本身的权限很低,即使黑客得到这类账号和密码,想进行入侵都是非常困难的,从而有效地保护网站系统的安全。

 

相关新闻
 
了解JS挂马方式 如何防止视频漏洞攻击
在线看小说当心中毒 吸血鬼病毒查杀
如何利用ActiveX挂马 windows蓝屏的原因
如何防止买到假火车票 如何防止arp攻击
qq防盗注意事项 如何给木马加壳
什么是病毒副本 斑点狗病毒是什么
Realplayer漏洞需注意 什么是硬件黑客
盗号木马工作原理 DG远程控制木马
 
搜索排行
热门知识

本站专题: 主板 | CPU | 硬盘 | 内存 | 显卡 | 声卡 | 显示器 | 光驱 | 鼠键 | 电源 | 网络 | 死机 | 其他
电脑知识网 版权所有 严禁转载本站文章 违者追究法律责任
业务联系 TEL:13951366782
苏ICP备05048721号