如今在网络中，论坛已经成为互联网中虚拟社会的基础，它的出现为人们的交流沟通起到了更好的帮助作用。但是正是由于论坛程序的开放性，在方便用户的同时，也为黑客留下了一道“邪恶之门”。知己知彼方能百战不殆，本期我们就来分析黑客如何利用论坛漏洞获得管理员密码，让我们以后能够加强论坛的安全性。

　　黑客高手

　　怪狗，1999年开始自学计算机，并开始学习黑客技术。最早研究病毒源代码、密码破解和溢出攻击技术。2001年建立了华夏黑客同盟（http://www.77169.com），2002年取得了北京大学计算机应用专业的学历，现任站长以及华夏新科技公司CEO兼安全局技术顾问。

　　入侵实战

　　自从2004年动网论坛7.0.0 SP2以下的所有版本被发现存在上传漏洞以后，又出现多个高危漏洞。就在今年，动网论坛又相继出现多个重大漏洞。当最新版本中的admin_postings.asp文件被发现存在注入漏洞后，官方论坛却没有发布相应的补丁，可能是官方认为该漏洞利用起来比较困难，要前台管理员权限才能利用。

　　●前台权限提升

　　首先我们打开一个搜索引擎的网页窗口，来搜索一个使用动网论坛的网站，在输入框中键入“Powered By ：Dvbbs Version 7.0.0 SP2”进行搜索。下面从搜索结果中找到一个使用该版本动网论坛的网站后，点击链接进入这个论坛。我们需要注册一个账号，注册完成后进入论坛。首先点击工具栏中的“用户控制面板”按钮，接着点击工具栏的“资料修改”按钮，进入用户的“基本资料修改”窗口。在“论坛头像选择”选项中任意选择一个头像，如图1所示。

图 1

123下一页阅读全文