< 뭐 어디서 찾은게 아니고 직간접적으로 운영되는 서버의 업로드 폴더에 업로드된 파일 >
많이 알려진 방법중에 하나 인데 해킹 방법은 이미 인터넷상에 공개가 많이 되고 있으므로 업로드된 툴에 대해서 간단하게 살펴 보면....
업로드 폴더에 mssql.asp 파일을 업로드후,. SQL Server 를 조작하는 툴입니다. 사전에 이미 해당 웹사이트를 해킹해서 DB 서버 정보를 파악하는게 먼저 이겠지요..;;
업로드된 mssql.asp 파일은 바로 알아보지 못하게 인코딩이 되어 있습니다.
Windows Script Decoder
http://www.virtualconspiracy.com/content/scrdec/download
해당 인코딩된 파일을 디코딩해서 풀어서 실행해 보면 다음과 같은 sql 을 조작할수 있는 기능 페이지가 뿌려집니다.
로그인 체크 기능도 있으므로 물론 사전에,. 코드된 내용을 살펴봐야 하겠지요.
위 mssql.asp 파일을 보니,.
AppName = "G.X HacK(繫晷珙綾)"
AppVersion = "v0.2"
AppAuthor = "IFriend & Wang YuHeng"
AppQQ = "QQ:9983808"
AppMail = "ifriend#qq.com"
AppWeb = "hxxp://www.gxhack.net" strPassword = "!"
AppVersion = "v0.2"
AppAuthor = "IFriend & Wang YuHeng"
AppQQ = "QQ:9983808"
AppMail = "ifriend#qq.com"
AppWeb = "hxxp://www.gxhack.net" strPassword = "!"
패스워드는 ! 이군요...
대부분의 웹해킹 툴들이 이미 공개된 웹어플을 기반으로 제작해 놓은것이라서 어렵지 않게 작성이나 구현이 가능합니다.
08-mssql-hack-tool-2.gif
08-mssql-hack-tool-1.gif
댓글 없음:
댓글 쓰기