神马文学网菜鸟教程之cookies欺骗
来源:百度文库 编辑:神马文学网 时间:2024/04/29 21:48:43
昨天答应骆驼写篇教程,不知道些什么好,想想还是些点cookies欺骗的吧,这个有助大家快速
成长。
第一,几个基本概念
cookies欺骗,就是在只对用户做cookies验证的系统中,通过修改cookies的内容来得到相应的用
户权限登录。(呵呵,我自己的定义,高手别见笑)
那么什么是cookies呢,我这里给大家一个专业的解释,Cookies是一个储存于浏览器目录中的文
本文件,记录你访问一个特定站点的信息,且只能被创建这个Cookies的站点读回,约由255个字
符组成,仅占4KB硬盘空间。当用户正在浏览某站点时,它储存于用户机的随机存取存储器RAM
中,退出浏览器后,它储存于用户的硬盘中。储存在Cookies中的大部分信息是普通的,如当你
浏览一个站点时,此文件记录了每一次的击键信息和被访站点的地址等。但是许多Web站点使用
Cookies来储存针对私人的数据,如:注册口令、用户名、信用卡编号等。
第二,原理分析
我们先来看一下6kbbs是怎么做的,在login.asp中我们找到113——124行,
看下面:
if login=false then
tl=" 登 陆 失 败"
mes=mes&"·![]()
src=pic/re.gif align=absmiddle>返回重新填写"
else
Response.Cookies(prefix)("lgname")=lgname
session(prefix&"lgname")=lgname
Response.Cookies(prefix)("lgpwd")=lgpwd
Response.Cookies(prefix)("lgtype")=lgtype
Response.Cookies(prefix)("lgcook")=cook
if cook>0 then
Response.Cookies(prefix).Expires=date+cook
end if
菜鸟你别说晕啊,你要晕我也晕了,我吧这段话的意思打改说一下,就是说如果你登录失败了他
就显示你登录失败并引导你返回上一页,否则就给你写进cookies里面,如果你的cookies有的话
那么你的过期时间就是你cookies的过期时间——也就是你保存cookies的时间了。
到这里,你想到什么了?对,以后登录它只要cookies,那如果我的cookies里面的信息是管理员
的我岂不是成为管理员了?聪明,接着往下看我们怎么做:
第三,cookies欺骗实例
在这里我以6kbbs为例,同时假设你已经拿到网站数据库或者是管理员MD5加密的密码。怎么拿
呢,follow me %$% 到搜索引擎去搜索关键字“powered by 6kbbs”,然后你就会看到一大堆
6kbbs的网站了,他的数据库在 http://www.***.com/bbs/db/6k.mdb (经过我的测试,我发现用
这个论坛的人至少有60%以上是不改默认数据库路径的,我也不知道为什么),好了,下载
回来没有?我们要开工了。
首先,我们先去注册一个用户,然后登录,看到了吗?有个cookies保存的选项,一定要选哦,
我选择是保存一个月,因为保存了才会再你本机上写进它的cookies。接着,打开数据库,看
admin表里面有什么东西,别的不管,你只要那个bd为16的那个人就行了,有可能没有,没关
系,你到他们论坛去逛一下,看管理员是谁,然后在数据库里面拿他的账号和加密的密码来欺
骗。
打开IECookiesView 晕,你没有啊?快去http://www.down99.com/SoftView/SoftView_270.html
下载回来再听,大家等着你呢,快点哦,呵呵%¥……%¥,算了,等它也是白等,我就先介绍
一下IECookiesView吧,这款软件是那来察看和修改本机的cookies的,很方便我们的cookies
欺骗入侵,诶,这么快救下载好了,那我们就继续吧,不废话了(下面小菜:晕,这么多废话了
还说不废话,真想拿香蕉砸他)
在IECookiesView 里找到你要欺骗的那个网站,看到了吗?有你的用户名和MD5加密的密码,我
们吧这两项改为管理员的,就是把刚才数据库里面的管理员账号和MD5加密的密码代替你自己
的。点击“更改cookies”,OK了,打开一个新的IE,然后再去访问那个论坛,看到没有?你现
在已经是管理员了%¥……##¥·,呵呵,
别捣乱哦。
=============
题外话
=============
1,对这个论坛的欺骗只能拿到前台管理员权限,后台需要输入密码,而且是session验证,不是
cookies,所以我们欺骗不了了。
2,这个论坛还有上传漏洞,可以上传木马,考虑到很多高手已经写出来动画教程,我这里就不
写了,大家有兴趣可以去搜索一下,学习一下也好,不做坏事就行。
3,cookies欺骗大量存在于现在的一些不做session验证的程序中,所以,如果你拿到数据库或
者管理员加密密码,不妨试一下cookies欺骗,会有意想不到的效果哦。
4,限于条件,不方便给大家抓图,请见谅
成长。
第一,几个基本概念
cookies欺骗,就是在只对用户做cookies验证的系统中,通过修改cookies的内容来得到相应的用
户权限登录。(呵呵,我自己的定义,高手别见笑)
那么什么是cookies呢,我这里给大家一个专业的解释,Cookies是一个储存于浏览器目录中的文
本文件,记录你访问一个特定站点的信息,且只能被创建这个Cookies的站点读回,约由255个字
符组成,仅占4KB硬盘空间。当用户正在浏览某站点时,它储存于用户机的随机存取存储器RAM
中,退出浏览器后,它储存于用户的硬盘中。储存在Cookies中的大部分信息是普通的,如当你
浏览一个站点时,此文件记录了每一次的击键信息和被访站点的地址等。但是许多Web站点使用
Cookies来储存针对私人的数据,如:注册口令、用户名、信用卡编号等。
第二,原理分析
我们先来看一下6kbbs是怎么做的,在login.asp中我们找到113——124行,
看下面:
if login=false then
tl=" 登 陆 失 败"
mes=mes&"·
else
Response.Cookies(prefix)("lgname")=lgname
session(prefix&"lgname")=lgname
Response.Cookies(prefix)("lgpwd")=lgpwd
Response.Cookies(prefix)("lgtype")=lgtype
Response.Cookies(prefix)("lgcook")=cook
if cook>0 then
Response.Cookies(prefix).Expires=date+cook
end if
菜鸟你别说晕啊,你要晕我也晕了,我吧这段话的意思打改说一下,就是说如果你登录失败了他
就显示你登录失败并引导你返回上一页,否则就给你写进cookies里面,如果你的cookies有的话
那么你的过期时间就是你cookies的过期时间——也就是你保存cookies的时间了。
到这里,你想到什么了?对,以后登录它只要cookies,那如果我的cookies里面的信息是管理员
的我岂不是成为管理员了?聪明,接着往下看我们怎么做:
第三,cookies欺骗实例
在这里我以6kbbs为例,同时假设你已经拿到网站数据库或者是管理员MD5加密的密码。怎么拿
呢,follow me %$% 到搜索引擎去搜索关键字“powered by 6kbbs”,然后你就会看到一大堆
6kbbs的网站了,他的数据库在 http://www.***.com/bbs/db/6k.mdb (经过我的测试,我发现用
这个论坛的人至少有60%以上是不改默认数据库路径的,我也不知道为什么),好了,下载
回来没有?我们要开工了。
首先,我们先去注册一个用户,然后登录,看到了吗?有个cookies保存的选项,一定要选哦,
我选择是保存一个月,因为保存了才会再你本机上写进它的cookies。接着,打开数据库,看
admin表里面有什么东西,别的不管,你只要那个bd为16的那个人就行了,有可能没有,没关
系,你到他们论坛去逛一下,看管理员是谁,然后在数据库里面拿他的账号和加密的密码来欺
骗。
打开IECookiesView 晕,你没有啊?快去http://www.down99.com/SoftView/SoftView_270.html
下载回来再听,大家等着你呢,快点哦,呵呵%¥……%¥,算了,等它也是白等,我就先介绍
一下IECookiesView吧,这款软件是那来察看和修改本机的cookies的,很方便我们的cookies
欺骗入侵,诶,这么快救下载好了,那我们就继续吧,不废话了(下面小菜:晕,这么多废话了
还说不废话,真想拿香蕉砸他)
在IECookiesView 里找到你要欺骗的那个网站,看到了吗?有你的用户名和MD5加密的密码,我
们吧这两项改为管理员的,就是把刚才数据库里面的管理员账号和MD5加密的密码代替你自己
的。点击“更改cookies”,OK了,打开一个新的IE,然后再去访问那个论坛,看到没有?你现
在已经是管理员了%¥……##¥·,呵呵,
别捣乱哦。
=============
题外话
=============
1,对这个论坛的欺骗只能拿到前台管理员权限,后台需要输入密码,而且是session验证,不是
cookies,所以我们欺骗不了了。
2,这个论坛还有上传漏洞,可以上传木马,考虑到很多高手已经写出来动画教程,我这里就不
写了,大家有兴趣可以去搜索一下,学习一下也好,不做坏事就行。
3,cookies欺骗大量存在于现在的一些不做session验证的程序中,所以,如果你拿到数据库或
者管理员加密密码,不妨试一下cookies欺骗,会有意想不到的效果哦。
4,限于条件,不方便给大家抓图,请见谅
菜鸟教程之cookies欺骗
Cookies
cookies
锐起无盘教程(菜鸟级教程)
极品菜鸟教程
菜鸟网站入侵教程
《极品菜鸟教程》索引
菜鸟破解教程
极品菜鸟教程
转:真正菜鸟用教程之WQSG Scrip Export WQSG (脚本导出导入工具,PS...
简单数据恢复菜鸟教程
《极品菜鸟教程》索引很好
菜鸟网站入侵教程1
管理 cookies
什么是cookies,删除cookies是什么意思?
53个菜鸟级教程---绝对实用(菜鸟必看)
网络欺骗之邮件群发
网络欺骗之链接交换
【珍藏】清华大学计算机全套教程 - 菜鸟学堂
【珍藏】清华大学计算机全套教程 - 菜鸟学堂 -
【珍藏】清华大学计算机全套教程 - 菜鸟学堂
教程下载,让你不再是菜鸟
菜鸟变黑客终极教程2
网易博客使用技巧(菜鸟教程)