道想要入侵這網站,拿到最高控制權,卻根本不是一件容易的事。
眾所周知。網站上的頁面越複雜,掛靠的各種程式越多,也就意味著耳以利用的漏洞將會出現的更多,這樣一來入侵起來自然機會更大一些。
但這個,第一等級驗證的網站,卻什麼都沒有。一般的登陸系統,一些掛靠在網站的山從以及各種其他的程式,這個網頁上都沒有。
此時林宇又不能借助掃描器來幫他掃描一下,因此一時之間倒是有些不知道如何下手。
先是拿出了那些曾經在掃描器上弄下來的程式碼,做成的程式,林宇想要直接用這些程式來入侵這個驗證網站。
但結果卻讓林宇有些無語。這個網站看起來簡單的不能再簡單。但以前無往不利,甚至連入侵科斯特官方網站都輕而易舉的程式,居然全部入侵失敗。
林宇從掃描器掃描的漏洞裡面弄出採的程式碼,一共編寫了三款程式,但三款程式全部用完,卻發現根本不能入侵這個簡單的不能再簡單的網站。
既然掃描器里弄來的程式碼編寫的程式不能用,林宇便知道,這個網頁怕是很多掃描器能掃描出來的漏洞。都經過了專業的修復了。
就好像林宇自己的電腦,掃描器也修復了很多漏洞一樣,這個網站很有可能也是專門修復過這些漏洞的,既然這些漏洞不能用,林宇便打算用常規方法來入侵這個,網站了。
想要用常規方法入侵一個網站,首先要探明的就是這個網站的伺服器採用的是什麼系統,這一步驟倒是不難。乙經給出,只需要呵四口。查詢“就可以知道這個伺服器的作業系統是什麼系統了。
一系列的操作之後,讓林宇感到高興的是,這個網站伺服器採用的是微軟的伺服器作業系統。
對於這款伺服器作業系統。林宇也有一定的瞭解。
而現在的網站。都要用到資料庫,林宇打算第一個用的方法,便是查詢這個網站是否有注入點。
所謂的注入點,也叫資料庫注入,是網站對提交資料過濾不嚴格的漏洞,在提交資料的時候插入一些資料查詢語言,從而獲取自己想得到的資訊的一種駭客手段。
這個,方法很簡單,就是在訪問該網站地址的時候,在後面加上一句籃講斷語句。這些判斷語句很簡單,只要在後面加上然後訪問。如果正常返回頁面。
那麼再在網站後面加上,進行訪問,如果這時候提示訪問錯誤或者找不到頁面,那就說明存在注入點。
當然,這是最簡單的方法。複雜的諸如輸入”汁隅2名猛吐名力川名力;嘿等來判斷,也是可以達到類似的效果。
這種方法說起來難,但實則很簡單,不過是就是你用這些特殊的程式碼去問資料庫”是不是等於”是不是等於擺了。
而注入點沒有被封死的資料庫,在遇到這種詢問的時候,自然會告訴你等於;”不等於2。因為這就是伺服器在分析之後,認為你提交的這個中是否存在錯誤,而給予的最基礎的答案。
基於這個,原因,這個注入點可以利用的地方就多了。
倘若這時候,你在後面加上別的一些程式碼語言,來詢問這個網站後臺的管理員賬號是不是,密碼是不是兩所傷,那麼網頁也會基於這個原因。給予你正確的答案來。
當然。這種詢問式的判斷,是最菜鳥級別的入侵方法,而且管理員的賬號到現在也不一定全會用,六位數的密碼更是可以有無數種變化,是以這樣一個,蠢方法,自然不會是林宇所使用的。
語句有很多種,有查詢,有判斷,有增加,有刪除,最重要的是,還有修改。而林宇想用的就是其中的修改,只要網頁存在著注入點,林宇便可以透過特定的狙語句,來達到直接修改管理員賬號甚至是密碼的目的。