黑客入侵思维官方网站全过程
网络安全 2021-07-03 09:40www.168986.cn网络安全知识
一直想找个稳定的程序建立一个网站,来到了源码之家,看到一个叫“思维(CMSware)内容管理系”的程序,PHP MYSQL搭建的,看起来还不错。就来到了官方看看程序怎么样。
官方地址:http://.lonmo./,新闻中心那里有一个链接“思维内容管理系统(CMSware 2.8.1203免费版发布及演示 “进去看看,是论坛里面关于程序的介绍。介绍内容如下:
在线演示版地址:(请不要删改数据)
预览前台:http://demo.cmsware./28/
预览后台:http://demo.cmsware./28/cmsware/
在线演示后台用户名:demo
在线演示后台密码: demo
先声明:一切都是无意中的,绝对没有故意检测。
按照说明进入了后台,看了下,如图1
500)this.width=500" title="点击这里用新窗口浏览图片" />
图1
看起来功能还真的很强大,就各个功能都看一下吧。作为演示版,后台许多功能肯定限制了,不限制的话,早被K了,本人也想看看作者都限制了些什么。狼蚁网站SEO优化就按检测的步骤来叙述本文。找了各种有关编辑的选项,模版管理这里也许会有问题,进去随便找了个目录,如图2
500)this.width=500" title="点击这里用新窗口浏览图片" />
图2
对应的文件后面有“编辑“这个选项,但是链接交互这个效果没有,还以为只是摆设呢,点一下是可以编辑的,点”编辑“弹出一个窗口。
500)this.width=500" title="点击这里用新窗口浏览图片" />
图3
选择结点,不太明白是什么意思,直接选择站点根目录了,点“确定“,又弹出一个小窗口,再“确定”,
又弹出如下窗口
500)this.width=500" title="点击这里用新窗口浏览图片" />
图4
看来可以编辑,也不一定,也许“写入“这种权限没有。尝试了几个目录,有的可以写。官方演示程序的地址是:http://demo.cmsware./28/,而进入的后地址如下:
500)this.width=500" title="点击这里用新窗口浏览图片" />
图5
发现无论点什么,后台地址都不变化,看来是在框架结构下,直接鼠标右键,属性,看到了后台真实地址,
http://demo.cmsware./28/cmsware/admin/admin_tpl.php?op=sId::d41578dab35eb07e6f19da9bddeb4eb1;o::list;PATH::/dynamic
在另一个网页里面打开,看到最后面PATH后面的就是路径了,看来可以借助这个来浏览站点内的文件了,尝试一下,把/dynamic换成 ../ 发现可以浏览上级目录,在换成../../../可以向上继续浏览,甚至看到了整个盘内的目录,如下
500)this.width=500" title="点击这里用新窗口浏览图片" />
图6
官方地址:http://.lonmo./,新闻中心那里有一个链接“思维内容管理系统(CMSware 2.8.1203免费版发布及演示 “进去看看,是论坛里面关于程序的介绍。介绍内容如下:
在线演示版地址:(请不要删改数据)
预览前台:http://demo.cmsware./28/
预览后台:http://demo.cmsware./28/cmsware/
在线演示后台用户名:demo
在线演示后台密码: demo
先声明:一切都是无意中的,绝对没有故意检测。
按照说明进入了后台,看了下,如图1
500)this.width=500" title="点击这里用新窗口浏览图片" />
图1
看起来功能还真的很强大,就各个功能都看一下吧。作为演示版,后台许多功能肯定限制了,不限制的话,早被K了,本人也想看看作者都限制了些什么。狼蚁网站SEO优化就按检测的步骤来叙述本文。找了各种有关编辑的选项,模版管理这里也许会有问题,进去随便找了个目录,如图2
500)this.width=500" title="点击这里用新窗口浏览图片" />
图2
对应的文件后面有“编辑“这个选项,但是链接交互这个效果没有,还以为只是摆设呢,点一下是可以编辑的,点”编辑“弹出一个窗口。
500)this.width=500" title="点击这里用新窗口浏览图片" />
图3
选择结点,不太明白是什么意思,直接选择站点根目录了,点“确定“,又弹出一个小窗口,再“确定”,
又弹出如下窗口
500)this.width=500" title="点击这里用新窗口浏览图片" />
图4
看来可以编辑,也不一定,也许“写入“这种权限没有。尝试了几个目录,有的可以写。官方演示程序的地址是:http://demo.cmsware./28/,而进入的后地址如下:
500)this.width=500" title="点击这里用新窗口浏览图片" />
图5
发现无论点什么,后台地址都不变化,看来是在框架结构下,直接鼠标右键,属性,看到了后台真实地址,
http://demo.cmsware./28/cmsware/admin/admin_tpl.php?op=sId::d41578dab35eb07e6f19da9bddeb4eb1;o::list;PATH::/dynamic
在另一个网页里面打开,看到最后面PATH后面的就是路径了,看来可以借助这个来浏览站点内的文件了,尝试一下,把/dynamic换成 ../ 发现可以浏览上级目录,在换成../../../可以向上继续浏览,甚至看到了整个盘内的目录,如下
500)this.width=500" title="点击这里用新窗口浏览图片" />
图6
1
上一篇:入侵Linux操作系统实例
下一篇:入侵chinalinux站点技术指导