今天偶尔看到一个留言版,是个人用的。我就给他留了个言。留完言闲的没事做。就想在他的留言版上灌水。
怎么灌呢?我想了想,拿出了Wsockexpert软件,然后来到那个人的留言版,在Wsockexpert软件中选择留言版的那个页面,点“open”。在留言版上填上姓名、标题和留言内容都添空格,点“确定发表”。然后看到Wsockexpert软件抓到了很多包!!!然后找到POST的那个。选中它!你会看到。下面的信息(我把Referer后面的网址替换掉了。怕你做坏事~~~~!)。
POST /mf/lrb/save.asp HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-excel, application/msword, application/x-shockwave-flash, */*
Referer: http://www.target.net/mf/lrb/default.asp?userid=xulion
Accept-Language: zh-cn
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)
Host: www.target.net
Content-Length: 76
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: ASPSESSIONIDSCQCRSSR=AFNOEDOBJDKFJJMCFKOALOBE
username=+&userid=xulion&img=1&title=+&email=&http=http%3A%2F%2F&pci=1&bak=+
看到上面的信息了吧? username是用户名,userid是注册用户的ID,img是头像,默认是1。title是标题,email是邮箱,http是主页。pci心情,bak是留言内容。
得到上面的信息后,打开AccessDiver这个软件。选择“附加工具->HTTP调试器”,选中“标题数据”,然后把上面的信息复制到出现的文本框中,模式为“post”,然后点“连接”。这样就发了一份跟刚才同样的帖子。反复提交的话,就可以恶意灌水了。如果想换的话,就把“username=+&userid=xulion&img=1&title=+&email=&http=http%3A%2F%2F&pci=1&bak=+”里面等号后面的内容替换掉就可以了。用NC不断提交以上代码也可以进行灌水。
大家应该明白了吧?这个留言版,我看了一下介绍,是个人写的,他说里面用了“动感论坛”的技术,不过我对这个不太清楚。本来想用vb做一个针对他留言本的灌水机,可是,我懒得去写。不过不是很难写。用6个label控件,6个text控件,1个command控件,1个timer控件,和一个winsock控件。用text控件得到用户名、注册用户(这样可以针对不同的用户进行灌水)、标题、邮箱、主页、留言内容。然后把得到的内容与上面抓的包连接起来,用winsock控件的senddata提交就可以。配合timer的用就可以实现恶意灌水的目的了。
怎么灌呢?我想了想,拿出了Wsockexpert软件,然后来到那个人的留言版,在Wsockexpert软件中选择留言版的那个页面,点“open”。在留言版上填上姓名、标题和留言内容都添空格,点“确定发表”。然后看到Wsockexpert软件抓到了很多包!!!然后找到POST的那个。选中它!你会看到。下面的信息(我把Referer后面的网址替换掉了。怕你做坏事~~~~!)。
POST /mf/lrb/save.asp HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-excel, application/msword, application/x-shockwave-flash, */*
Referer: http://www.target.net/mf/lrb/default.asp?userid=xulion
Accept-Language: zh-cn
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)
Host: www.target.net
Content-Length: 76
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: ASPSESSIONIDSCQCRSSR=AFNOEDOBJDKFJJMCFKOALOBE
username=+&userid=xulion&img=1&title=+&email=&http=http%3A%2F%2F&pci=1&bak=+
看到上面的信息了吧? username是用户名,userid是注册用户的ID,img是头像,默认是1。title是标题,email是邮箱,http是主页。pci心情,bak是留言内容。
得到上面的信息后,打开AccessDiver这个软件。选择“附加工具->HTTP调试器”,选中“标题数据”,然后把上面的信息复制到出现的文本框中,模式为“post”,然后点“连接”。这样就发了一份跟刚才同样的帖子。反复提交的话,就可以恶意灌水了。如果想换的话,就把“username=+&userid=xulion&img=1&title=+&email=&http=http%3A%2F%2F&pci=1&bak=+”里面等号后面的内容替换掉就可以了。用NC不断提交以上代码也可以进行灌水。
大家应该明白了吧?这个留言版,我看了一下介绍,是个人写的,他说里面用了“动感论坛”的技术,不过我对这个不太清楚。本来想用vb做一个针对他留言本的灌水机,可是,我懒得去写。不过不是很难写。用6个label控件,6个text控件,1个command控件,1个timer控件,和一个winsock控件。用text控件得到用户名、注册用户(这样可以针对不同的用户进行灌水)、标题、邮箱、主页、留言内容。然后把得到的内容与上面抓的包连接起来,用winsock控件的senddata提交就可以。配合timer的用就可以实现恶意灌水的目的了。
1270
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
