二幕卜的…一朴灿。蚓山。嗽。网站页面很简单,仙共张背景图上,只有一排红字。
“第一等级验证。”
这六个,红字摆在页面的中央,页面其他的地方,则是全黑色,没有任何其他的东西。
这是一个,简单到不能再简单的网页,如果不是林宇知道,这网页有自己的后台和服务器的话,估计会把这个网页当作个人空间一类的东西也说不定。
然而,既然了解这是一个有着独立服务器的网站,林宇看着这样简单的页面,却知道想要入侵这网站,拿到最高控制权,却根本不是一件容易的事。
众所周知。网站上的页面越复杂,挂靠的各种程序越多,也就意味着耳以利用的漏洞将会出现的更多,这样一来入侵起来自然机会更大一些。
但这个,第一等级验证的网站,却什么都没有。一般的登陆系统,一些挂靠在网站的山从以及各种其他的程序,这个网页上都没有。
此时林宇又不能借助扫描器来帮他扫描一下,因此一时之间倒是有些不知道如何下手。
先是拿出了那些曾经在扫描器上弄下来的代码,做成的程序,林宇想要直接用这些程序来入侵这个验证网站。
但结果却让林宇有些无语。这个网站看起来简单的不能再简单。但以前无往不利,甚至连入侵科斯特官方网站都轻而易举的程序,居然全部入侵失败。
林宇从扫描器扫描的漏洞里面弄出采的代码,一共编写了三款程序,但三款程序全部用完,却现根本不能入侵这个简单的不能再简单的网站。
既然扫描器里弄来的代码编写的程序不能用,林宇便知道,这个网页怕是很多扫描器能扫描出来的漏洞。都经过了专业的修复了。
就好像林宇自己的电脑,扫描器也修复了很多漏洞一样,这个网站很有可能也是专门修复过这些漏洞的,既然这些漏洞不能用,林宇便打算用常规方法来入侵这个,网站了。
想要用常规方法入侵一个网站,先要探明的就是这个网站的服务器采用的是什么系统,这一步骤倒是不难。乙经给出,只需要呵四口。查询“就可以知道这个服务器的操作系统是什么系统了。
一系列的操作之后,让林宇感到高兴的是,这个网站服务器采用的是微软的服务器操作系统。
对于这款服务器操作系统。林宇也有一定的了解。
而现在的网站。都要用到数据库,林宇打算第一个用的方法,便是查询这个网站是否有注入点。
所谓的注入点,也叫数据库注入,是网站对提交数据过滤不严格的漏洞,在提交数据的时候插入一些数据查询语言,从而获取自己想得到的信息的一种黑客手段。
这个,方法很简单,就是在访问该网站地址的时候,在后面加上一句篮讲断语句。这些判断语句很简单,只要在后面加上然后访问。如果正常返回页面。
那么再在网站后面加上,进行访问,如果这时候提示访问错误或者找不到页面,那就说明存在注入点。
当然,这是最简单的方法。复杂的诸如输入”汁隅2名猛吐名力川名力,嘿等来判断,也是可以达到类似的效果。
这种方法说起来难,但实则很简单,不过是就是你用这些特殊的代码去问数据库”是不是等于”是不是等于摆了。
而注入点没有被封死的数据库,在遇到这种询问的时候,自然会告诉你等于,”不等于2。因为这就是服务器在分析之后,认为你提交的这个中是否存在错误,而给予的最基础的答案。
基于这个,原因,这个注入点可以利用的地方就多了。
倘若这时候,你在后面加上别的一些代码语言,来询问这个网站后台的管理员账号是不是,密码是不是两所伤,那么网页也会基于这个原因。给予你正确的答案来。
当然。这种询问式的判断,是最菜鸟级别的入侵方法,而且管理员的账号到现在也不一定全会用,六位数的密码更是可以有无数种变化,是以这样一个,蠢方法,自然不会是林宇所使用的。
语句有很多种,有查询,有判断,有增加,有删除,最重要的是,还有修改。而林宇想用的就是其中的修改,只要网页存在着注入点,林宇便可以通过特定的狙语句,来达到直接修改管理员账号甚至是密码的目的。
然而,可惜的是,当林宇用旧和忧旧来判断该网站是否存在注入点的时候,却得到了让他很无奈的一个结果,这个简单到不能再简单的网页,入点的漏洞居然不存在刁
是的,林宇的第一个常规入侵方法,便在此时宣告破
当然,林宇也没有就此便气馁。毕竟是扫描器的第一等级验证,这样的方法不能利用,倒也很正常。