屌丝安全论

文章开始前先让我苦逼下，刚来兄弟连第2个星期的时候下午听写被抓然后被爽哥奖励罚抄200遍，没人比我还多了 有木有，在兄弟连不仅学到了技术还练了字有木有。 爽哥你还可以在狠点 我还坚持得住。哦克（强哥口头禅）正题开始.
    本人68期一屌丝，初中时接触电脑，深爱网络安全，由于自学效率低下，在大学浪费时间，所以特地前来兄弟连做逆袭前的准备，兄弟连真的狠爱我们，兄弟们加油。
    革命尚未成功,同志仍需努力。
    漏洞说明：mysql弱口令.（有40%-60%为弱密码，如root、123、123456 等）
    漏洞利用：利用phpmyadmin+mysql帐号及弱口令密码可导出一句话木马到网站路径，appserv安装后php是system权限。意思是传个php脚本木马就可以想干嘛干嘛了。
    有些童鞋可能会说 是内网怕毛，用的学校的电脑我就不说了，用的自己电脑的兄弟硬盘里的视频也不可能让你成为什么门的主角。
    解决方法：把密码改强一些,在或则把phpmyadmin放到www目录外用的时候在拖回来
    演示工具：一句话客户端 “中国菜刀”  和某论坛内部远控:iFly Rat v1.0
    无图无真像:
   随便找了一台弱密码的童鞋
phpmyadmin 爆路径。。。 也可以查看phpinfo.php 

phpmyadmin爆路径的方法

写入一句话木马

连接一句话木马

...

whoami    system权限 你懂得


有了system权限 一切都so easy 比如远控  我给大家用我的虚拟机演示下某论坛的远控

屏幕控制。

键盘记录

用大量肉鸡来攻击别人 比如网站。。横线画的是攻击的方式 圆圈是攻击的目标 方框框的是另外几种攻击方式。

超出图片限制了 图太多了  大概了解下就OK

OK 不管你看懂没有 只是让大家懂得 养成一个良好的习惯很重要。
做为一个程序猿 在自己的机器上搭建环境进行测试是必不可少的，所以尽可能的别让自己的电脑被入侵破坏。建议大家使用wamp 可以切换在线方式和离线方式（只允许本机访问）。phpmyadmin目录也只允许本机访问。
当然appserv也可以设置  找到apache的配置文件httpd.conf   中设置一下即可
ctrl+f 搜索一下 然后把Allow From后面的内容改下 没有的话自己添加
Options All
AllowOverride None
Order Deny,Allow
Deny From all
Allow From 192.168.120.*（这行是让某IP可以访问）
Allow From 127.0.0.1

不懂的 或者想互相交流的 可以跟帖留言。后续我还会发一些 web安全方面的文章。
                                                                                               疯子(跟随我10年+的外号)

阅读(35) | 评论(0) | 转发(0) |

0

上一篇：我认识php的前世今生

下一篇：谈一谈程序猿的成长过程

相关热门文章

• web服务器apache理论、实践详...
• 从支付宝全线放弃线下POS业务...
• 教你三招清洁家里的木地板...
• 米开朗基罗作品欣赏=
• 上海律师事务所 　　第节　非...

• phpStudy 2013下载，PHP5开发...
• 草和谐榴社区caoliushequ...
• 灵芝的种类和图片
• 为PHP添加GD库支持
• 秋天的惆怅

• 大家都是用什么来管理hadoop集...
• 网站被人挂了吗，添加了些程序...
• Nginx如何保证不走宕机的那个...
• 大家谈谈MYSQL客户端和服务器...
• 以下代码运行后为何会输出5?...

给主人留下些什么吧！~~

评论热议