今天朋友叫我帮他搞一个站,当然是相当牛的一个大型站点了.
站点一丢过来便初探了一下:
Microsoft Windows [版本 5.2.3790]
(C) 版权所有 1985-2003 Microsoft Corp.
D:\>ping
www.xxxx.comPinging
www.sellgamegold.com [xx.xxx.246.244] with 32 bytes of data:
Request timed out.
Request timed out.
Ping statistics for 61.152.246.244:
Packets: Sent = 2, Received = 0, Lost = 2 (100% loss),
Control-C
^C
D:\>ftp xx.xxx.246.244
Connected to xx.xxx.246.244.
220 Serv-U FTP Server v6.0 for WinSock ready...
User (xx.xxx.246.244:(none)): ^C
D:\>
当然主站就不看它了,能搞的话我朋友早就搞了.
直接拿它机房的机器吧,一扫这个网站的80,21端口,主机不少.
直接拿机房里面的一个服务器的一个垃圾站点webshell,提权,ok.
然后就进3389给它装上arp欺骗工具,针对目标机抓包,ok.....
这时无聊便看了一下占领的这台服务器,里面有一个bbsxp 6.0 的,是一个it行业的论坛,便把数据库下下来看了一下.
玩玩社会工程学吧!(我挺喜欢研究别人秘密的,哎.....)
数据库里面的用户名,密码(当然是md5加了密的),邮箱,年龄,电话等等,都很齐的,呵呵.......
个人觉得破md5这个网站不错.
http://www.xmd5.org/index_en.htm打开它,把数据库里面的数据一个一个拿出来破,惊恐,百分之七十的密码能查出来......
然后用这个密码进用户的邮箱,更惊恐,百分之八十的能进邮箱......
在邮箱里找找东西,哇靠....东西不少,域名管理用户名和密码网址等挖了六个出来......当然只是看看啦............
更恐怖的是进了几个淘宝网的支付通,易趣的什么通.....这些都可以在邮箱里找到,就算没有找到这些空间域名支付通的密码,就用那些网站上自带的"找回密码"和掌握的个人信息,百分之九十的都能取得密码,郁闷...............
更郁闷的是拿到两个工行的网上银行帐号,并且猜出了密码,进去看一下更吓了一跳.............当然,我可不干坏事的,人还年轻,这个谁都能查出来谁转走了钱.
哎,现在的网民上网的安全意识真让人担心,我n年前在各大论坛和网站的的注册都是些不重要的密码了,并且邮箱和QQ,网上卡等密码都是设置的不同的了.
哎..........大家还是注意了.
晚了,睡觉了...又是电脑前的一天.
2006.04.19
