|
目录浏览漏洞的产生是由于服务器没有配置而导致的,利用谷歌能搜索出这样的网站,然后攻击。用过这项技术的朋友应该都会发现,搜索到的很多网站权限最高的也就是把数据库下载下来,而对于服务器端的脚本文件是无法下载的,而且打开以后是空白,源代码,也无法看到,当然网站的体系结构也可以探测到,这对于我们得到webslishell来说是非常的容易,但是离最高权限还是有一定的距离。 其实我们可以利用FTP搜索引擎就可以找到大量提供FTP功能的网站,如果服务器不在线,就会提示离线,我如果需要用户名及密码,就会提示需要账号,快照一般来说是可以直接进入的,不过也有可能由于各种原因会登陆不了。 随便打开一个IP地址,成功的进入了对方的服务器了,而且这样说出来的服务器要比运用目录浏览搜索出来的网站大很多,目录浏览搜索得来的并没有进入对方的服务器,而利用FTP搜索是直接进入服务器,上面的所有文件是可以下载的。
我们来搜索数据库连接文件。 我们来搜索数据库连接文件,看看效果,一样可以得到非常多的服务器。 我们可以搜索Pcanywhere,在得到了安装Pcanywhere五,软件的服务器之后,就可以访问硬盘内的cif文件,把它下载下来,就得到了管理员的密码,我还可以搜索Serv-U,然后通过修改它的ini文件,然后加上具有执行权限的用户,之后FTP连接上提升权限就可以了。
黑客技术小贴士:想不想在系统时间的位置显示自己的名字或者个性的话呢?如果你喜欢这样的话,可以在控制版面里找到区域和语言选项,单机去学校中的自定义,切换到时间选项卡中,把时间格式改为tt h:mm:ss,然后把上午和下午都改为自己喜欢的文字,并且确定就可以了。 |
