网络渗透攻击其实借鉴了社会工程学中的一些原理,其核心思想就是利用已有信息进行猜测和尝试。下面以一个实例来讲解如何进行渗透攻击,揭开渗透攻击的神秘面纱。
试验工具:
(1)明小子注入工具Domain3.5内部版
(2)配置好的木马一个
试验步骤:
(一)寻找存在SQL注入漏洞的网站
我是在帮一个朋友写一篇英文作文的时候,偶然发现一个提供写作服务的网站存在Access数据库注入漏洞。关于如何寻找SQL注入漏洞的方法,黑客防线杂志上面有很多文章都谈到过,因此本文不再赘述。SQL注入点通常是先通过手工判断,然后通过教主的HDSI、明小子的Domain等SQL注入工具。个人感觉HDSI对SQL Server2000数据库使用起来效果较好,而对于Access数据库则Domain使用效果较好。
(二)猜测数据库内容
找到SQL注入点后,将存在注入点的地址复制到Domain的注入点中,单击“开始检测”来进行SQL注入点的核实,如果存在SQL注入点,软件会进行提示,然后依次猜测表名、猜测列名和猜测内容,通过猜测最终获取了数据库中的用户名和密码(图1)。该站点没有对密码进行加密。Domain猜测的口令和用户名有长度限制,本文猜解到第57个就不行了,要想获取Access数据库文件,只能通过其它方法。
图1 猜解数据库内容
技巧:在Domain工具中,可以通过鼠标选中已经猜解出来的内容,通过快捷键“Ctrl+C” 将口令和用户名复制到文本文件(图2),便于查看和进行邮箱口令的尝试。
图2 口令文件
(三)邮箱登陆测试
从获取的密码和用户名中任选一个,找到首页用户登陆处(图3),直接输入,呵呵,进去了,现在可以进行提交作文等操作,可惜不能充QQ币(^_^)。以用户“正常身份”进入网站后,寻找和获取用户的有效信息是渗透成功与否的关键步骤。通过分析,本网站有“个人资料修改”栏目,通过“个人资料修改”页面(图4)可以获取用户的Email地址、QQ号码、MSN等个人信息。
图3 登陆网站系统
图4 获取个人信息
(四)我要看MM邮件
通过“个人资料修改”页面中获取了yumujiu用户的个人邮箱地址[email]yumujiu@163.com[/email],使用该用户名和该用户登录网站的密码进行邮箱登陆,紧张。。。。。,热切的期待,芝麻开门,哈哈,门开了(图5)。进入邮箱以后,呵呵,有很多事情可以干了,给该用户的朋友发送带“马”文件等等。如果是位MM,还可以查看邮件内容后(图6),与其聊天,泡MM,保证马到成功!
图5 登陆邮箱
图6 查看邮件内容
(五)QQ任我行
本文早在一个月前就开始写了,后面由于事情较多,主要是在看世界杯,所以没有来得及写,为了抓图,偶又去网站逛了一圈,上次只是进入邮箱,这次顺带测试了其QQ密码,将该用户网站的密码登陆其QQ,耐心等待1分钟,腾讯登陆时间很长的,登陆成功(图7)!
图7 登陆QQ
总结
本文技术难度不大,关键点在于对信息的收集,获取信息后,将其用户名和密码进行邮箱和QQ登陆测试。很多人喜欢将所有的帐号的口令都设置成一样,因此给渗透攻击留下了希望和利用的空间。呵呵,赶快修改自己的密码后,将帐号按照重要程度来设置密码,重要的和非重要的不要设置成同样的密码,这样即使个人信息泄露也不会带来巨大的损失。
本文转自 simeon2005 51CTO博客,原文链接:http://blog.51cto.com/simeon/36378
