彻底禁止查看网页源代码及破解
一般攻击某台主机或者某个网站过程的步骤中,有一步是要获取拥有高级权限的帐号。比如系统的计算机管理员帐号、网站后台的超级管理员帐号、FTP上传帐号、邮件系统登陆帐号。获取帐号之后就可以做下一步的添加后门、修改网站、下载上传文件、获取重要资料等操作。最后再扫除入侵痕迹。获取拥有高级权限帐号办法有两种:一是提升某个已知密码的只拥有普通权限的帐号;二是直接破解拥有高级权限的帐号密码。对于第一种办法,一般是利用系统或程序的漏洞来达到目的。下面主要讲第二种方法。要破解拥有高级权限的帐号密码,首先要知道拥有高级权限的帐号名称,再不惜一切手段破解其密码。帐号名称可以通过对方的网站、邮件地址、一些默认帐号、网络监听等手段获得,比如对方网站上留下的管理员邮件帐号、默认的帐号administor、guest、test等。获取的系统帐号在WINDOWS下可以用NET USE命令来尝试密码,如果熟悉批处理文件,还可以写成脚本或程序,并创建密码字典,加快其破解进度。对于网站后台管理员帐号,可以在论坛或者其他地方很容易得到,如果对方的登陆机制不是很完善的话,只要懂一点VB和ASP知识,破解起来还是很容易的。对于VB,要会使用其中的Internet Transfer 控件。对于ASP,要明白表单提交参数的工作原理。假如某个网站http://xxx.xxx.com/login.asp有以下登陆代码
其中你填的密码会保存到name变量中,密码会保存到password中,并以以下方式被提交http://xxx.xxx.com/check.asp?name=*****&password=********其中*号内容为你填的内容。知道这个之后,你就可以利用VB里的Internet Transfer 控件的OpenURL 或 Execute 方法来尝试登陆了。主要代码如下:Dim strURL As StringstrURL = “http://xxx.xxx.com/check.asp?name=*****&password=********“Text1.Text = Inet1.OpenURL(strURL)可以看到strURL是一个字符串变量,你构造不同的字符串就可以打开不同的页面。假如有个管理员帐号为admin,要想破解密码,就可以构造很多个字符串作为参数来打开页面,strURL = “http://xxx.xxx.com/check.asp?name=admin&password=********“(*部分为你要尝试的密码,可以用穷举,也可以用密码字典)那怎么样知道登陆成功呢?登陆成功之后返回的页面内容是不同的,所以就可以利用这个来判断。上面的Text1.Text = Inet1.OpenURL(strURL)是将登陆的结果返回给Text1.Text可以统计出错误登陆的结果的特征,比如结果字符长度,如果返回的不是错误登陆结果,那就是登陆成功,就暂停,并显示密码楼主的原理不假!(我估计现在的暴力解密码程序都是这么回事!)只是,现在网站一般对此都有防范的!一个比较简单的限制例子!在一定时间内,登陆输错密码不能超过三次。。。象这么强行破解,网站很容易就发觉的!特别是现在的密码大多在6位数字以上!即使是用程序破解,估计也不是短时间内就可以奏效的!顺便把相关的资料转一下!表单的提交方式POST和GET有什么区别——————————————————————————–沈陶亮 2006-02-13, 15:08表单的提交方式POST和GET有什么区别 ?解决思路:两者的区别需要通过提交表单后才看得出来,主要是在数据发送方式和接收方式上。具体步骤:Post和Get都是表单属性Method的可选值,Method的默认值为Get,两者的主要区别在于:1.在客户端,Get方式在通过URL提交数据,提交后在地址栏中的地址如图1.4.3所示。图1.4.3 Get方式提交表单后的地址栏而Post提交后地栏不变,如图1.4.4所示。图1.4.4 Post方式提交表单后的地址栏不变2.在服务器端只能用Request.QueryString来获取Get方式提交来的数据,用Post方式提交的数据只能用Request.Form来获取:<%@language=”VBScript” Codepage=”936″%>原创文章 彻底禁止查看网页源代码及破解,版权所有
如若转载,请注明出处:https://www.itxiaozhan.cn/202212771.html
赞 (0)
打赏
微信扫一扫
支付宝扫一扫
微信扫一扫
支付宝扫一扫
硬核破解HashMap源码
上一篇
2022年9月25日 pm3:01
思路+源码,利用Python破解WIFI密码详解,100M的字典已备好
下一篇
2022年9月25日 pm9:02
