| 首页 | 技术文章 | 软件下载 | 博客 | 论坛 | 精品教程 | 黑客动画 | 视频资源 | 在线服务 | 黑客游戏 |

您现在的位置： 中国X黑客小组 >> 技术文章 >> 安全防御 >> 漏洞分析 >> 文章正文 用户登录 新用户注册

google的暴库分析    热     ★★★ 【字体：小 大】
google的暴库分析
作者：zhouzhen    文章来源：CnXHacker.Net    点击数：    更新时间：2004-11-18
google 的暴库早不是什么新鲜技术了, 网络上很多站点都有动画下载. 为了照顾下读者, 我还是在说一下了. 方法很简单在google 上搜索关键字 Server.MapPath("article.mdb") , 其中()里的可以换成其他的, 比如说 admin.mdb 或者其他的一些路径. 哈哈. 在google的搜索结果中, 你可以清楚的看见数据库的路径. 类似 <% Set Cnn = Server.CreateObject("ADODB.Connection") set rs = Server.CreateObject(" ADODB.recordset") StrCnn = "Provider = Microsoft.Jet.OLEDB.4.0; Data Source=" & Server.MapPath("article\article.mdb") Cnn.Open StrCnn %> <%Set Cnn1 = Server. ... 在浏览器里输入数据库地址就可以下载了. 按照我的理解, 这不应该叫做暴库. 比如说我想暴 xx 网站的数据库, google 能行吗? 几率是很小的,基本上是不可能的.大多数文章就讲到这里了, 对于原理都没讲的很清楚.这里涉及到搜索引擎等其他相关内容.我对google的暴库, 也存在这疑问, 为什么google 就能够搜索到这些信息呢. 经过分析终于弄明白了, 原理是网页的源码里的内容! 像上面的url 源码里是这么写的. <% Set Cnn = Server.CreateObject("ADODB.Connection") set rs = Server.CreateObject("ADODB.recordset") StrCnn = "Provider = Microsoft.Jet.OLEDB.4.0; Data Source=" & Server.MapPath("article\article.mdb") Cnn.Open StrCnn %> <%Set Cnn1 = Server.CreateObject("ADODB.Connection") set rs1 = Server.CreateObject("ADODB.recordset") StrCnn1 = "Provider = Microsoft.Jet.OLEDB.4.0; Data Source=" & Server.MapPath("trade\article.mdb") Cnn1.Open StrCnn1 %> <%Set Cnn2 = Server.CreateObject("ADODB.Connection") set rs2 = Server.CreateObject("ADODB.recordset") StrCnn2 = "Provider = Microsoft.Jet.OLEDB.4.0; Data Source=" & Server.MapPath("zanhui\article.mdb") Cnn2.Open StrCnn2 rs2.maxrecords = 1 %> <% Set Cnn3 = Server.CreateObject("ADODB.Connection") set rs3 = Server.CreateObject("ADODB.recordset") StrCnn3 = "Provider = Microsoft.Jet.OLEDB.4.0; Data Source=" & Server.MapPath("guestbook\lib.mdb") Cnn3.Open StrCnn3 %> 我晕, 真不知道这些人是怎么写asp 的. 一个 include 就能解决的问题, 非要写成这样. 分析下....我们在判断请求的网页是否有我们所需要的内容的时候,也是用 一个 recv 函数来接受服务器返回的内容, 读的也是网页源码, 然后用正则表达式匹配下, google 大概也是这样吧.而在<% %>里的内容在网页里是看不见的, 然后就造成了暴库的假像. 数据库的路径就在网页源码里写着, 根本不用像动画里的一样, 盲目的试数据库路径, 命中率几乎百分之百.当然看人家都把路径告诉你了, 这还会搞错路径? ^_^ google的功能实在是太强大了, 有兴趣的可以和我交流,这篇文章完全是我个人的理解. 有什么错误欢迎指出.
文章录入：IceRiver    责任编辑：IceRiver
	上一篇文章： Windows XP系统漏洞—不容忽视 下一篇文章： 雪人论坛注入点的发现
【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】

最新热点		最新推荐		相关文章
				谷歌列举微软OOXML文档标准不 破解Session cookie的方法 微软OneCare删除用户Outlook 索尼拟推U盘升级文件 去除内 微软抨击Google：我们更有责 Google Gadget存漏洞 可被利 四成Facebook用户轻易泄露身 教你Rootkit技术的木马知识 FaceBook源代码泄漏 机器数量庞大 Google成WEB服

网友评论：（只显示最新5条。评论内容只代表网友观点，与本站立场无关！）

关于我们 - 版权声明 - 帮助(？) - 广告服务 - 联系我们 - 友情链接 - 用户注册 -	Powered by ICE RIVER - STUDIO

» CnXHacker.CoM

© CopyRight 2002-2006, CnXHacker.CoM™, Inc. All Rights Reserved.