▓.|单身公害|▍
Would you like to react to this message? Create an account in a few clicks or log in to continue.

通過SQL註入 入侵遊戲SF

3 posters

向下

通過SQL註入 入侵遊戲SF Empty 通過SQL註入 入侵遊戲SF

帖子 由 Admin 周三 三月 12, 2008 8:52 pm

今天偶们来说说怎么通过"SQL注入"入侵一个游戏SF
我们先找到那个SF的网站 www.***.com 随便点一个新闻 得到www.***.com/display.asp?id=92之类的网页接下去就要判断是否可以注入 在这个网址的最后输入"'"(双引号不要 只输入')得到返回信息 "Microsoft OLE DB Provider for SQL Server 錯誤 '80040e14'


由此可以判断是SQL数据库了(其实偶早就知道了 .........)
方法1:可以通过NBSI注入 直接查看数据库 但是无法修改~~(我要修改!!! 所以我们的目的是进主机!)是可以查看网站的后台的帐号密码
因为是是SQL数据库 获得SQL帐号密码就等于得系统管理员的的权限了 接下去就是怎么建立个SQL用户了 先在刚刚的地址栏后面输入
and 1=(select is_srvrolemember('sysadmin'));-- (查看当前用户级别)
exec sp_addlogin hacker;exec sp_addsrvrolemember hacker,sysadmin;--(添加SQL用户 帐号为hacker密码空)
好了 有了SQL帐号就行接下去 我们用SQL综合利用工具 输入IP 帐号密码 OK 进去了
运行DOS命令 net user 用户名 密码/aad 添加一个帐号
然后再输入net localgroup administrators 用户名 /add 添加一个用户到管理员组s
好了 然后就可以用这个帐号密码进去了 打开远程桌面连接..........关3389了 郁闷哦
NND 再开IPC$服务 我靠 被防火墙过滤了 也不行 唉~~换别的吧
先上传一个ASP木马 知道了那个网站的物理地址为d:/www就可以把ASP木马传到下面 然后在IE里输入地址就可以了
再看看有没有开其他端口打开scanner扫描端口 1~10000 很快就扫完了发现了PCANYWHERE的端口 嘿嘿.....有希望 了
在CMD下运行dir c:\*.cif / 后查找到个CIF后缀的文件 这个就是PCANYWHERE存放密码的文件
上ASP木马网页 找到了 并下载下来 用流光的PCANYWHERE密码 查看就可以看到了 去下载一个PCANYWHERE 就可以用这个帐号密码连接进去了进去后找到数据库文件 HOHO 任我们修改拉 嗷嗷! 胜利!
其实也没什么技术难度 只是给大家一个思路而已
(文章有點亂 請大傢见谅) --------黑基转的!
Admin
Admin
Admin
Admin

帖子数 : 15
注册日期 : 08-03-09

家族名称
所在家族: 无门无派

http://dsgh.longluntan.cn

返回页首 向下

通過SQL註入 入侵遊戲SF Empty 回复: 通過SQL註入 入侵遊戲SF

帖子 由 夜妖猫女 周四 三月 13, 2008 8:45 am

妈呀好复杂 哪天去你那拜师得了 尴尬
夜妖猫女
夜妖猫女
管理员
管理员

帖子数 : 145
年龄 : 35
地点 : 长春市
注册日期 : 08-03-09

家族名称
所在家族: ℡S TrAy﹎貓

http://xunlei3.blog.sohu.com/

返回页首 向下

通過SQL註入 入侵遊戲SF Empty 回复: 通過SQL註入 入侵遊戲SF

帖子 由 阳光サ雨露 周四 三月 13, 2008 10:48 am

我也没明白什么意思!
可能我对网络是个白痴!
哪天我也去拜师!!
阳光サ雨露
阳光サ雨露
版主
版主

帖子数 : 191
年龄 : 38
地点 : 长春
注册日期 : 08-03-11

家族名称
所在家族: 孤サ行

http://user.qzone.qq.com/165255016

返回页首 向下

返回页首


 
您在这个论坛的权限:
不能在这个论坛回复主题