| 关键词: nbsp 程序 漏洞 系统 Java 二分法 文件 Injection 后台 帐号 |
/**说明:VC++版本的,可以直接使用作者:慈勤强Email:[email protected]://blog.csdn.net/cqq**/ 天意商务系统是一个比较好的通用的商务系统,网站程序使用Asp编写, 数据库是Access的,在网上能够很容易的找到这套系统。 具体的样式,可以看看http://www.jiulei.cn ,就是这个样子的, 还有很多的网站使用的这套程序或者修改自这套程序,在gogole.com和baidu.com 上搜索一下就可以了。 但是这套系统在安全方面的漏洞太多了,常见的就是SQL Injection漏洞 和文件上传漏洞,网上关于这方面的文章也很多。 前两天,自己用Java写了个破解后台管理员帐号的小程序,利用的是 SQL Injection漏洞,并贴出了代码,由于采用二分法算法来猜解,所以 速度还是可以的,用不了1分钟。具体程序代码,可以参考 http://blog.csdn.net/cqq/archive/2004/10/09/129716.aspx 后来,收到"古典辣M"的邮件,她是黑客基地的副站长吧, 希望能有一个exe版的可执行的程序,因为java是需要在JVM(java虚拟机) 上解释执行的,很不方便,为此她还写了一篇如何把java class文件转换成 exe文件的文章。 于是,这次就用VC++写了一个,也是利用的SQL Injection漏洞, 但是在思路上跟java写的那个有了本质的区别。Java的那段程序是猜用户名 和密码,而这次写的这个则是直接得到用户名和密码,所以速度上有了很大的 提高,很快就可以得到所有的后台管理帐号。进入后台以后,就可以利用 备份数据库的功能,上传木马了。 我写这个程序的目的,主要是演示一下如何编写java程序以及二分法算法, 如果要入侵这套系统的话,还是文件上传漏洞来的快,如果自己写好个小程序的话。 程序的使用方法: 只要在地址栏里,填上天意商务系统的网址就可以了,注意一定要是主页面, 后面不要跟文件名,比如http://www.jiulei.cn 就可以了。 程序下载:http://blog.blogchina.com/upload/2004-10-14/20041014034746651518.zip |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|