tonynuc
26-02-2008, 02:46 PM
เป็น webboard ที่นิยมมากในบ้านเรา มีช่องโหว่ SQL Injection สามารถดึง password ของ admin มาได้
ลอง search ใน google ดูได้ว่าใครเป็นเหยื่อเราบ้าง (มีเว็บไซต์ดังๆเยอยะเหมือนกัน)
Dork: inurl:/webboard/question.asp?QID
http://www.google.co.th/search?hl=th&q...oogle&meta= (http://www.google.co.th/search?hl=th&q=inurl%3A%2Fwebboard%2Fquestion.asp%3FQID&btnG=%E0%B8%84%E0%B9%89%E0%B8%99%E0%B8%AB%E0%B8%B2%E0%B9%82%E0%B8%94%E0%B8%A2+Google&meta=)
วิธีการ:
**Hidden Content: Check the thread to see hidden data.**
พอได้ password มาแล้วไป login ไ้้ด้ที่ http://victim/webboard/admin/login.asp ไม่ต้องใช้ username
จบ..
ลอง search ใน google ดูได้ว่าใครเป็นเหยื่อเราบ้าง (มีเว็บไซต์ดังๆเยอยะเหมือนกัน)
Dork: inurl:/webboard/question.asp?QID
http://www.google.co.th/search?hl=th&q...oogle&meta= (http://www.google.co.th/search?hl=th&q=inurl%3A%2Fwebboard%2Fquestion.asp%3FQID&btnG=%E0%B8%84%E0%B9%89%E0%B8%99%E0%B8%AB%E0%B8%B2%E0%B9%82%E0%B8%94%E0%B8%A2+Google&meta=)
วิธีการ:
**Hidden Content: Check the thread to see hidden data.**
พอได้ password มาแล้วไป login ไ้้ด้ที่ http://victim/webboard/admin/login.asp ไม่ต้องใช้ username
จบ..