然而,可惜的是,当林宇用旧和忧旧来判断该网站是否存在注入点的时候,却得到了让他很无奈的一个结果,这个简单到不能再简单的网页,入点的漏洞居然不存在刁
是的,林宇的第一个常规入侵方法,便在此时宣告破
当然,林宇也没有就此便气馁。毕竟是扫描器的第一等级验证,这样的方法不能利用,倒也很正常。
想想扫描器的妖孽程度吧?要是他的第一等级验证,用这个菜鸟都懂的经典注入入侵方法就能拿下网站后台的管理员权限的话,那扫描器估计也会羞愧死吧?
而林宇也没想过,利用经典注入这个方法,就将这个网站成功拿下。他现在怎么说也是个,二流水准的黑客了。所懂的入侵方法可不是经典注入这一种。
眼看着经典注入压根不能丹,林宇马上开始了第二种方法。
这个,方法在骇客社区里,被称作万能密所利用的漏洞便是凹漏洞。而万能密可以用在后台管理输入,有的网站由于没有过洞,输入凹直接就可以突破,一洞存在于凹类型的网站。
林宇检测过这个。网站的类型,正是凹类型网站。是以才会想到用这个漏洞来入侵。
只是,结果再次让林宇无奈,这个简单到不能再简单的网站,看起来似乎随手入侵一下,都会轻松的拿到后台控制权,但经典注入和万能密洞这两个漏洞,却都已经被修复。
林宇依旧不气馁,他从骇客社区里面学到了不下十种拿下网站后台控制权的入侵方法。此时不过才用了其中两种,机会还多着呢。
从电脑里翻找了一下,林宇翻出了一个入侵工具。这个工具是林宇从骇客社区里下载来的爆库工具。这种方法可以理解为爆出数据库下载,而基于此原理,则可以用爆库工具直接就获得管理员的用户名和密码。
爆库的操作并不算复杂,但必须先知道数据库在十六进制的符号下是否大于凹,如果数据库大于凹则表示可以进行爆库。之后,便要判断该数据库的版本,通过凹四变量可以猜出该数据库的版本,然后根据版本在后面加上特定的二级目录代码,再利用工具,便可以爆库,甚至获得管理员的用户名和密码。
林宇首先用判断了验证网站的数据库是否大于凹,结果让他很满意。该数据库的确大于凹。林宇便开始了第二部,用凹四刚变量拆除了数据库的版本,然后开始在后面加上特定的二级目录代码。
可是,输入完这一切,运行工具之后,林宇又一次失败了。这个网站的管理员很明显禁止了他人非法下载数据库,林宇不由又改动了一下二级目录的代码,再次输入,再次运行爆库工具。
一般而言,管理员禁止了他人非法下载数据库,是还可以通过改动二级目录的代码,完成强行爆库的,但很明显这个扫描器第一等级验证的网站,用了林宇所不知道的手段,将强行爆库的漏洞也彻底修复死了。
林宇的第三次牛试,不得不冉再次失败结束。
当然,林宇手里还有别的入侵方法,数据库既然不能注入,林宇便打算使用0伙四中转这种专门针对注入程序的方法,来入侵验证网站试一试效果。
一般而言,网站的某些漏洞遭到修复,必然就会出现一个新的漏洞。但这种漏洞不一定是当前计算机知识领域所能了解的。
就比如防注入程序这个专门用来修复注入点的程序,在新添加以后,却产生了一个可以用凹0姆中转,注入中转来突破。
这个方法需要先搭建一个如环境,且必须是如网站,然后利用中转工具,输入特定的指令,提交之后便可以在工具里猜表名和列名。
因此这种方法也是猜表的一种方法,通过这种方法,也是可以直接猜出管理员的账号和密码来的。