然而,可惜的是,當林宇用舊和憂舊來判斷該網站是否存在注入點的時候,卻得到了讓他很無奈的一個結果,這個簡單到不能再簡單的網頁,入點的漏洞居然不存在刁
是的,林宇的第一個常規入侵方法,便在此時宣告破
當然,林宇也沒有就此便氣餒。畢竟是掃描器的第一等級驗證,這樣的方法不能利用,倒也很正常。
想想掃描器的妖孽程度吧?要是他的第一等級驗證,用這個菜鳥都懂的經典注入入侵方法就能拿下網站後臺的管理員許可權的話,那掃描器估計也會羞愧死吧?
而林宇也沒想過,利用經典注入這個方法,就將這個網站成功拿下。他現在怎麼說也是個,二流水準的駭客了。所懂的入侵方法可不是經典注入這一種。
眼看著經典注入壓根不能丹,林宇馬上開始了第二種方法。
這個,方法在駭客社群裡,被稱作萬能密所利用的漏洞便是凹漏洞。而萬能密可以用在後臺管理輸入,有的網站由於沒有過洞,輸入凹直接就可以突破,一洞存在於凹型別的網站。
林宇檢測過這個。網站的型別,正是凹型別網站。是以才會想到用這個漏洞來入侵。
只是,結果再次讓林宇無奈,這個簡單到不能再簡單的網站,看起來似乎隨手入侵一下,都會輕鬆的拿到後臺控制權,但經典注入和萬能密洞這兩個漏洞,卻都已經被修復。
林宇依舊不氣餒,他從駭客社群裡面學到了不下十種拿下網站後臺控制權的入侵方法。此時不過才用了其中兩種,機會還多著呢。
從電腦裡翻找了一下,林宇翻出了一個入侵工具。這個工具是林宇從駭客社群裡下載來的爆庫工具。這種方法可以理解為爆出資料庫下載,而基於此原理,則可以用爆庫工具直接就獲得管理員的使用者名稱和密碼。
爆庫的操作並不算複雜,但必須先知道資料庫在十六進位制的符號下是否大於凹,如果資料庫大於凹則表示可以進行爆庫。之後,便要判斷該資料庫的版本,透過凹四變數可以猜出該資料庫的版本,然後根據版本在後面加上特定的二級目錄程式碼,再利用工具,便可以爆庫,甚至獲得管理員的使用者名稱和密碼。
林宇首先用判斷了驗證網站的資料庫是否大於凹,結果讓他很滿意。該資料庫的確大於凹。林宇便開始了第二部,用凹四剛變數拆除了資料庫的版本,然後開始在後面加上特定的二級目錄程式碼。
可是,輸入完這一切,執行工具之後,林宇又一次失敗了。這個網站的管理員很明顯禁止了他人非法下載資料庫,林宇不由又改動了一下二級目錄的程式碼,再次輸入,再次執行爆庫工具。
一般而言,管理員禁止了他人非法下載資料庫,是還可以透過改動二級目錄的程式碼,完成強行爆庫的,但很明顯這個掃描器第一等級驗證的網站,用了林宇所不知道的手段,將強行爆庫的漏洞也徹底修復死了。
林宇的第三次牛試,不得不冉再次失敗結束。
當然,林宇手裡還有別的入侵方法,資料庫既然不能注入,林宇便打算使用0夥四中轉這種專門針對注入程式的方法,來入侵驗證網站試一試效果。
一般而言,網站的某些漏洞遭到修復,必然就會出現一個新的漏洞。但這種漏洞不一定是當前計算機知識領域所能瞭解的。
就比如防注入程式這個專門用來修復注入點的程式,在新新增以後,卻產生了一個可以用凹0姆中轉,注入中轉來突破。
這個方法需要先搭建一個如環境,且必須是如網站,然後利用中轉工具,輸入特定的指令,提交之後便可以在工具裡猜表名和列名。
因此這種方法也是猜表的一種方法,透過這種方法,也是可以直接猜出管理員的賬號和密碼來的。