|
[组图]入侵Phpcms网站管理系统
Phpcms网站管理系统,是一个基于PHP+MYSQL平台生成html的建站系统,它以安全、高效、占用资源少、负载能力强等特点,深受各类行业网站站长的喜爱。不过百密难免一疏,在Phpcms 2007SP5 SP6网站管理系统的版本里,却存在变量Formid未赋值且过滤不严的致命漏洞,本文将会对其漏洞版本进行一次实战入侵,希望能给各位使用该版本的站长们敲响警钟。
首先利用百度或者Google两个强大搜索引擎站点,找到使用Phpcms平台管理系统的任意网站后,打开系统第三方工具“phpcms0dayEXP”客户端程序(图1)。
这是一款专为Phpcms管理系统,量身定做的入侵工具,这里在测试Url栏内,输入想要攻击的某Phpcms网站网址,然后单击“测试”按钮。稍等片刻后,如果测试的网站的确存在注射漏洞,它就会弹出“恭喜恭喜,注射去吧”的对话框信息,并且还会显示出数据库的相关信息(图2)。
在得知数据库所使用的版本后,我们单击“第一步获取管理员名”按钮,在等其后面栏所显示出获取的账号名后,在单击“第二步获取管理员密码”按钮,此时软件会对应显示的管理员账号,来获取其密码(图3)。不过有时这个密码会被MD5加密过,因此遇到这种情况,我们需要单击后面“反查MD5值”按钮,或者进入www.cmd5.com解密网站,将获取到的MD5值输入后,进行解密即可得到明文密码。
现在我们已经获取了网站后台的管理员账号和密码,接下来只要找到后台地址进行登录,就可操控该网站了。
| 实例讲解跨站入侵攻防战之攻击篇 | 05-08 |
| 对偶偶娱乐分站服务器的安全检测 | 04-23 |
| 入侵88red系统的详细过程 | 04-07 |
| 对趋势科技等数万网站被攻击的分 | 03-21 |
| 凡人网络购物系统 V8.0 简体中文 | 03-18 |
| linux平台下渗透日本著名XXXXXX. | 03-18 |
| 搜索框所引起的XSS漏洞 | 03-05 |
| 跳转漏洞的利用 | 03-05 |
| 对复旦大学的一次漫长渗透 | 03-03 |
| .net一句话马以及dx论坛拿shell | 03-01 |
| php渗透入侵过程图文详解 | 03-01 |
| DJ网站的入侵详细过程 | 02-26 |
您现在的位置: