时间: 2021-07-31 作者:daque
往日黑站黑了很多,然而就没有想过会不会被蹑踪到,都没有想过如何去擦本人的屁股,一概没想到在本人不复黑站的功夫,却创造了本人的bbs被黑了。按照开初的确定,bbs步调是咱们bct小构成员编写的lvbbs不会生存着上传缺点和sql注入啊!就算能拿到权力都不大概不妨弄出个webshell出来,不是步调的缺点的话,就确定是效劳器的安定题目了,往日成天拿着旁注去黑站,这下子好玩了,果然被旁人拿去黑本人的网站了。以是就硬着真皮去找网管问个毕竟,如何领会网管还说我本人的题目,要我本人去找气死我啊。 那只好做一回网管了,即使你是网管你会怎样去检查题目的根源了?步调题目就去察看“事变察看器”,即使是iis题目固然是察看iis日记了!体例文献夹的system32卑下的logfile有一切的iis日记,用来记载效劳器一切考察记载。由于是假造长机的用户,以是每个用户都摆设独力的iis日记目次,从内里的日记文献就不妨创造侵犯者侵犯bbs的材料了,以是载入了相关功夫段的一切日记下来举行领会,创造了很多我本人都不领会材料!嘿嘿哈,这下子就领会侵犯者是如何侵犯我的bbs了。 (侵犯日志1)
从第一天里日记不妨创造侵犯者早就仍旧对我的bbs虎视耽耽的了。并且不只一个侵犯者这么大略,还很多啊。头一天的iis日记就十足都是运用步调扫描后盾留住的废物数据。
图1
看上头的日记不妨创造,侵犯者61.145.***.***运用步调连接的在扫描后盾的页面,犹如想运用后盾登岸缺点进而加入bbs的后盾处置版面。很怅然这位侵犯者犹如真的没有什么思绪,麻痹的运用步调动作扶助去探求后盾,没有什么效率的侵犯手法。
(侵犯日记2) 察看了第二天的日记,发端的功夫仍旧普遍的用户考察日记没有什么更加,到了中段的功夫题目就找到了,找到了一个运用步调搜索指定文献的iis举措记载。
图2
从上头的材料创造侵犯者61.141.***.***也是运用步调去扫描指定的上传页面,进而决定侵犯目的能否生存那些页面,而后举行上传缺点的侵犯。再有即是扫描运用动网默许数据库,少许比拟常用的跷跷板称呼,可见这个侵犯者还觉得我的bbs是马坊啊,扫描这么多的跷跷板文献能找着即是奇妙啊。连接往下走毕竟被我创造了,侵犯者61.141.***.***在黑了我网站首页之前的举措记载了,开始在forum的文献夹目次创造了一个myth.txt文献,而后在forum的文献夹目次下再天生了一只跷跷板akk.asp
图3
日记的记载下,看到了侵犯者运用akk.asp跷跷板的一切操纵记载。 精细侵犯领会如次:
get /forum/akk.asp – 200 运用旁注网站的webshell在forum文献夹下天生akk.asp方便之门
get /forum/akk.asp d=ls.asp 200 侵犯者登岸方便之门
get /forum/akk.asp d=ls.asp&path=/test&oldpath=&attrib= 200 加入test文献夹
get /forum/akk.asp d=e.asp&path=/test/1.asp&attrib= 200 运用方便之门在test文献夹窜改1.asp的文献
get /forum/akk.asp d=ls.asp 200 get /forum/akk.asp d=ls.asp&path=/lan&oldpath=&attrib= 200 加入lan文献夹
get /forum/akk.asp d=e.asp&path=/lan/index.html&attrib= 200 运用编纂吩咐窜改lan文献夹内的首页文献
get /forum/akk.asp d=ls.asp 200 get /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200 加入bbs文献夹(这下子真的加入bbs目次了)
post /forum/akk.asp d=up.asp 200 get /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200 get /forum/myth.txt – 200 在forum的文献夹内上传myth.txt的文献
get /forum/akk.asp d=ls.asp&path=/forum&oldpath=&attrib= 200 get /forum/akk.asp d=e.asp&path=/forum/myth.txt&op=del&attrib= 200 post /forum/akk.asp d=up.asp 200 get /forum/myth.txt – 200
运用方便之门窜改forum文献夹目次下的myth.txt文献。之后又再运用旁注网站的webshell举行了ubb.asp的方便之门创造,运用akk.asp的方便之门窜改了首页,又把首页备份。晕死啊,不领会这位侵犯者是如何一回事,成天换webshell举行运用,还真的摸不透啊。 领会日记归纳:
侵犯者是运用东西踩点,开始决定bbs大概生存的缺点页面,过程尝试创造不不妨侵犯,而后转向效劳器的侵犯,运用旁注专用的步调大概是一定的步调举行网站侵犯,拿到重要的webshell,再举行文献夹的考察进而侵犯了我的bbs体例窜改了首页,由于是鉴于我空间的iis日记举行领会,以是不领会侵犯者是运用哪个网站哪个页面举行侵犯的!然而都仍旧实行的材料搜集了,决定了侵犯bbs的侵犯者ip地方以及运用的跷跷板(xiaolu编写的),还留住了洪量侵犯记载。所有日记蹑踪进程就结束了,正文本领含量不高,不过蓄意给诸位小黑和网管领会侵犯和被侵犯都有迹可寻。