买东西要付钱? 黑客说NO
安全防线
@浙江 李骏杰
最近“飘忽不定”阔了,仿佛中了500万似的,狂买东西毫不在意价格,并随意将买来的东西赠予周围的朋友。他真的中了500万?不,他只是网奇EShop网上商城系统漏洞的受益者之一,利用这个漏洞,买东西不要钱。想知道怎么做的吗?请接着往下看!
Step1:在谷歌中以“Powered by wqEshop”为关键字进行搜索,该关键字为“网奇EShop商城系统”的版权标志,因此搜索结果中都是利用该系统搭建的商业网站。在搜索结果排名靠后的网站中挑选一个目标(排名靠前的多被其他黑客光顾了),然后在该网站中注册,之后依次点击网站首页中的“用户中心”→“会员信息”。
Step2:在“找回密码答案”处输入如下命令:l', Name = Cstr(DLookUp('memberid', 'admin')) + ',这句代码的作用是获取数据库中管理员用户的ID号码,点击“修改用户信息”按钮,这时页面会刷新,刷新后在“用户中心”的下方会显示“welcome,1”之类的字样,这里显示“1”则说明管理员的ID号码为“1”。
有了管理员的ID号码,黑客就可以根据号码来获取相应账户的密码。同样在“找回密码答案”处输入:l', Name = Cstr(DLookUp('Password', 'member', 'memberid=1')) + ',这句代码的作用是获取ID号码为1的用户的密码,点击“修改用户信息”按钮后,“用户中心”的下方会显示“welcome, 7a57a5a743894a0e”之类的字样,其中“7a57a5a743894a
0e”就是经过加密的密码。
Step3:现在,黑客要破解密码。打开MD5破解网站:http://www.cmd5.com,在文本框中输入字符串,点击“解密”按钮,就得到密码admin。有了商城管理员的账号和密码,黑客就可以登录商城的后台了。在商城的域名后输入/admin并回车,就打开后台管理员登录页面,输入管理员账号admin、密码admin即可成功登录。现在,黑客就控制了网站,买东西还需要花钱吗?