国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

文章作者：魔女の條件 （自由戰(zhàn)士 無組織）

信息來源：邪惡八進(jìn)制信息安全團(tuán)隊技術(shù)論壇（www.eviloctal.com）

注意：此為投稿文章 文章首發(fā)于《黑客X檔案》2005年05月刊(黑客研究院) 轉(zhuǎn)載請注明版權(quán)歸《黑客X檔案》所有

全面剖析“收費網(wǎng)站---VIP會員專區(qū)”
                                        ---魔女の條件
俗話說，天底下沒有免費的午餐。各類網(wǎng)站都披上了為特殊需求的消費者服務(wù)的偽裝外衣，打出了“收費網(wǎng)站---VIP會員專區(qū)”這張能大筆賺錢的“王牌”。正當(dāng)網(wǎng)站經(jīng)營者大賺特賺的時候，可苦了我們這些渴求學(xué)習(xí)更多知識，學(xué)習(xí)先進(jìn)技術(shù)的窮學(xué)生。用辨證唯物主義的觀點看問題，事物的發(fā)展都是相對的。“矛”和“盾”本身都是共同出現(xiàn)的。沿用到當(dāng)代IT行業(yè)就出來了，搞“黑客的”和“網(wǎng)絡(luò)安全的”、搞“軟件編程的”和“軟件破解的”，而相對“收費網(wǎng)站”就滋生出“網(wǎng)站破解”的一些網(wǎng)絡(luò)愛好者。
這些“網(wǎng)站破解”的愛好者，也破解到的AB密碼也公布到聚集著一些志同道合的人交流的網(wǎng)站“AB聯(lián)盟網(wǎng)站”。而這些AB密碼的破解，不外忽就是使用“AccessDiver”和“GoldenEye”這樣的軟件。使用國外的代理，在軟件上掛上字典暴力破解，而字典的好壞和網(wǎng)站用戶密碼復(fù)雜度等很多客觀因數(shù)有關(guān)。如果你的命夠好，相信“功夫不辜有心人”一定能破解出來網(wǎng)站會員密碼。
“收費網(wǎng)站”的會員登陸，一般能夠分為兩大類：
第一類：彈出式入口：彈出式入口是密碼驗證系統(tǒng)的一種方式，就是在進(jìn)入會員區(qū)的時候彈出一個提示框讓你輸入用戶名和密碼進(jìn)行登錄。在“黑客基地”網(wǎng)站中點擊“VIP會員專區(qū)”的連接中的某個教程，會彈出下圖（圖1-0）所示的一個用來輸入用戶名、密碼的提示框，那就證明這個網(wǎng)站的入口是彈出式的。

第二類：表單式入口：表單式入口區(qū)別于彈出式入口，沒有彈出式用戶名、密碼輸入框，而是一個登錄頁面，采用form表單形式將用戶輸入的信息（用戶名和密碼）提交到一個驗證地址去驗證。
其實表單式入口的基本原理大致類似，也是要把你輸入的信息發(fā)送到某個地址去驗證。只不過表單式入口提供給你的輸入方式不同，不像彈出式入口那樣給你一個彈出式輸入框，而是給你一個網(wǎng)頁，里面有輸入用戶名和密碼的地方。這個網(wǎng)頁中輸入用戶名和密碼的地方，在網(wǎng)頁源文件中可以看到，是從<form......>開始到</form>結(jié)束的一段代碼，在這段代碼中定義了這個表單的發(fā)送方式、發(fā)送地址、發(fā)送數(shù)據(jù)等等信息。當(dāng)你在網(wǎng)頁中填好用戶名和密碼，點擊登錄按鈕后，你輸入的信息就被發(fā)送到form中定義的地址去驗證。如果通過驗證，允許你進(jìn)入會員區(qū)。如果沒有通過驗證，進(jìn)入錯誤提示頁面，并且顯示一些錯誤提示信息，讓你重新輸入。

幾個基本概念：
表單式入口――區(qū)別于彈出式入口，沒有彈出式用戶名、密碼輸入框，而是一個登錄頁面，采用form表單形式將用戶輸入的信息（用戶名和密碼）提交到一個驗證地址去驗證。
提交地址――在表單式入口的登錄頁面中定義的，用來驗證登錄信息的地址。
Post data――發(fā)送數(shù)據(jù)，也就是發(fā)送到提交地址去驗證的信息。
Keyword――關(guān)鍵字，是我們在驗證返回信息中選擇的，用來讓AD進(jìn)行識別的特殊信息。

因為表單式入口，可以使用動態(tài)網(wǎng)站編寫代碼實現(xiàn)，還可以使用某些后臺管理網(wǎng)站程序，相對彈出式入口，淺顯易懂。今天我就把彈出式入口網(wǎng)站服務(wù)的實現(xiàn)詳細(xì)做下剖析，希望能對各位黑友和網(wǎng)管有所幫助。
經(jīng)過偶長期的研究“彈出式入口”網(wǎng)站的服務(wù)搭建，經(jīng)驗總結(jié)可以分為Linux系統(tǒng)搭建的Apache服務(wù)器和Windows 系統(tǒng)搭建的IIS服務(wù)器、Apache服務(wù)器、以及第三方軟件服務(wù)器搭建的四個類別。
一、   Linux系統(tǒng)
Apache服務(wù)器的目錄安全認(rèn)證
Apache實現(xiàn)身份認(rèn)證的基本原理是：當(dāng)系統(tǒng)管理員啟動身份認(rèn)證功能后，可以在要限制的目錄中添加一個默認(rèn)名“.htaccess"的文件。當(dāng)用戶訪問該路徑下的資源時，系統(tǒng)就會彈出一個對話框，要求用戶輸入“用戶名/口令"。也就是說，它的身份認(rèn)證功能不是人為由程序控制，而是由系統(tǒng)直接控制的。這樣就避免了用戶記錄需要認(rèn)證的資源的超級鏈接，不會下次直接訪問資源。這樣可做為專門管理網(wǎng)頁存放的目錄或做為會員區(qū)等。

測試環(huán)境：
操作系統(tǒng)：Red Hat Linux 9.0
內(nèi)核版本：2.4.20-8
IP地址：192.168.10.36

前期準(zhǔn)備，必須已經(jīng)安裝Apache
第1步：
我們在/var/www/html(apache的主頁根目錄)下建立一個vip目錄
# mkdir /var/www/html/vip

第2步
然后我們編輯httpd.conf
添加
Alias /vip "/var/www/html/vip"
<Directory "/var/www/html/vip">
Options Indexes MultiViews
AllowOverride AuthConfig
Order allow,deny
Allow from all
</Directory>

注釋：AllowOverride AuthConfig #表示進(jìn)行身份驗證 這是關(guān)鍵的設(shè)置(圖1-1)


第3步
在要限制的資源的目錄內(nèi)創(chuàng)建并編輯.htaccess文件 
# vi /var/www/html/vip/.htaccess
AuthName ″黑客X檔案″ 
AuthType Basic 
AuthUserFile /usr/local/apache/secrets/.htpasswd 
AuthGroupFile /usr/local/apache/secrets/.htgroup 
Require group hackbase
Require valid-user

注釋： 
AuthName #描述信息，您想顯示的“領(lǐng)域名稱”
AuthUserFile /usr/local/apache/secrets/.htpasswd #存放可以訪問受限制的資源的用戶名和密碼
AuthGroupFile /usr/local/apache/secrets/.htgroup #存放可以訪問受限制的資源的組名以及其中的用戶 
repuire group hackbase 、require valid-user 或者 require user frank #限制資源的組名、所有合法用戶還是指定用戶

密碼文件推薦使用.htpasswd,因為apache默認(rèn)系統(tǒng)對“.ht”開頭的文件默認(rèn)不允許外部讀取，安全系數(shù)會高一點哦。

參數(shù)require group 指定哪些組的用戶可以訪問認(rèn)證資源，這樣，當(dāng)再次訪問需要認(rèn)證的資源存在的目錄時，系統(tǒng)就會彈出對話框，要求輸入“用戶名/口令"。（圖1-2）


小知識：
基于用戶名和密碼的認(rèn)證只是方法之一，時常會有不需要知道來訪者是誰， 只需要知道來自哪里的情況。
Allow和Deny指令可以允許或拒絕來自特定主機名或主機地址的訪問， 同時，Order指令告訴Apache處理這兩個指令的順序， 以改變過濾器。
這些指令的用法：
Allow from address 
這里的address可以是一個IP地址(或者IP地址的一部分)， 也可以是一個完整的域名(或者域名的一部分)，還可以同時指定多個IP地址和域名。
比如，要拒絕兜售垃圾的站點：
Deny from 205.252.46.165 
如此，這個指令所管轄的區(qū)域?qū)⒕芙^來自該地址的訪問。 除了指定IP地址，也可以指定域名，如：Deny from host.example.com 
另外，還可以指定地址或域名的一部分來阻止一個群體：
Deny from 192.101.205
Deny from cyberthugs.com moreidiots.com
Deny from ke 
Order可以組合Deny和Allow指令， 以保證在允許一個群體訪問的同時，對其中的一些又加以限制：
Order deny,allow
Deny from all
Allow from dev.example.com 
上例首先拒絕任何人，然后允許來自特定主機的訪問。

第4步
編輯認(rèn)證用的組文件：主要用于存放可以訪問受限制的資源的組名以及其中的用戶，用Vi編輯組文件.htgroup如下 
hackbase : Hacker
hackbase : Cracker
hackbase : Programmer

存放在 /usr/local/apache/secrets/.htgroup路徑下,其中hackbase是組名, Hacker、Cracker和 Programmer分別是組中的用戶名。（圖1-3）


第5步
建立用戶文件：主要用于存放某一組中的用戶名和口令 
# htpasswd -c /usr/local/apache/secrets/.htpasswd Hacker 

注釋：htpasswd是Apache提供用于實現(xiàn)認(rèn)證功能的程序，-c表示產(chǎn)生新的.htpasswd文件，如果存在同名舊文件，則覆蓋舊文件。該程序?qū)⒃儐柨诹?，鍵入“hello"然后重新確認(rèn)口令。 

第2次添加用戶，就不用-c參數(shù)
如果你們想修改密碼，可以如下
# htpasswd -m /usr/local/apache/secrets/.htpasswd Hacker

第6步
重新啟動Http服務(wù)
# service httpd restart（圖1-4）


至此，所有配置已經(jīng)完成。訪問Linux系統(tǒng)上的Http服務(wù)，查看實驗效果。（圖1-5）

在此提醒下讀者朋友，請不要把.htgroup和.htpasswd文件等敏感文件放在網(wǎng)站目錄下。有的文章直接放其放在和.htaccess文件同一個目錄下，這種做法是非常不明智的。想破解網(wǎng)站的朋友都不需要破解了，直接把這兩個文件下載下來就搞定了，哪里還有安全性可言^_^

小技巧：防止用戶訪問指定的文件 
系統(tǒng)中有一些文件是不適宜提供給WWW用戶的，如：.htaccess、htpasswd、*.pl等，可以用<Files>達(dá)到這個目的： 
<Files .htaccess> 
order allow,deny 
deny from all 
</Files> 
用戶訪問控制三個.htaccess文件、.htpasswd和.htgroup（用于用戶授權(quán)） ，為了安全起見，應(yīng)該防止用戶瀏覽其中內(nèi)容，可以在httpd.conf中加入以下內(nèi)容阻止用戶對其進(jìn)行訪問： 
<Files ~”/.ht”> 
Order deny, allow 
Deny from all 
</Files> 
這樣這三個文件就不會被用戶訪問了。

二、   Windows系統(tǒng)
  Ⅰ、基于IIS本身的目錄安全認(rèn)證
測試環(huán)境：
操作系統(tǒng)：Windows 2000 Advanced Server
IIS版本：IIS 5.0
IP地址：192.168.10.10

前期準(zhǔn)備，必須已經(jīng)安裝IIS 5.0
如果您是管理員級的用戶，你可以用一種簡單的方法來實現(xiàn)密碼驗證。假設(shè)你安裝的WEB服務(wù)器是IIS，你就可以通過IIS所提供的“Internet信息服務(wù)”進(jìn)行目錄安全設(shè)置。假設(shè)我把/Software設(shè)置成安全目錄，首先啟動“ Internet信息服務(wù)”，打開“默認(rèn)web站點”，新建虛擬目錄“Software”，接著右鍵"屬性"，接著在出現(xiàn)的“Software屬性”窗口中，選取“目錄安全性”選項，然后按下“匿名訪問及驗證控制”中的“編輯”按鈕，將“匿名訪問”按鈕取消，選取“基本驗證”，點擊下方的“編輯”，輸入“領(lǐng)域名稱”（圖2-0）。

接下來當(dāng)上網(wǎng)者要瀏覽這個目錄的網(wǎng)頁時，瀏覽器就會顯示"請輸入用戶名和密碼"的窗口，要求用戶輸入用戶名和密碼，因為IIS驗證的方法是與NT服務(wù)器結(jié)合在一起，只要是NT服務(wù)器的用戶，就是IIS的用戶，因此這里輸入的用戶名和密碼是已經(jīng)在NT服務(wù)器中建立的用戶及對應(yīng)的密碼。用這種方法我們可以輕松實現(xiàn)對Software目錄網(wǎng)頁的密碼驗證（圖2-1）。

如果是在大型公司內(nèi)部，還可以結(jié)合“活動目錄 Active Directory”更好的分配“域”中的用戶計算機。由于這種方法IIS用戶既是NT服務(wù)器用戶，管理員可以建立個該目錄的“用戶群”統(tǒng)一分配權(quán)限、管理?？墒沁@種方法就建立了太多的用戶，雖然管理員能夠把權(quán)限分配和密碼復(fù)雜度都能得到很好，并且限制只有內(nèi)網(wǎng)用戶能夠訪問該服務(wù)器，但是還是有被使用系統(tǒng)漏洞本地提升權(quán)限的可能，所以我的意見是盡量不要使用這種方法。
Ⅱ、基于Windows系統(tǒng)的 Apache服務(wù)器
根據(jù)在Linux系統(tǒng)下Apache服務(wù)器實現(xiàn)身份認(rèn)證的基本原理，個人意愿把這種方法移植到Windows系統(tǒng)上。通過實驗完全符合要求，在此奉獻(xiàn)給大家。
測試環(huán)境：
操作系統(tǒng)：Windows 2000 Advanced Server
Apache版本：Apache V2.0.48 for Windows
IP地址：192.168.10.1

第1步：編輯httpd.conf 
加入 
Alias /love/ "E:/love/" 
#設(shè)置虛擬目錄love到根目錄 
<Directory "E:/love/"> 
Options Indexes MultiViews 
AllowOverride AuthConfig 
Order Deny,Allow 
Allow from all 
Options All 
AllowOverride All 
</Directory>
本機目錄為C:\Program Files\Apache Group\Apache2\conf\httpd.conf

第2步：在E:/love/下創(chuàng)建.htaccess文件 
authtype basic 
authname "魔女の條件" 
authuserfile e:/love/.htpasswd 
require valid-user

第3步：在E:/love/下創(chuàng)建密碼文件 
1.明文密碼： 
創(chuàng)建pass.txt 
內(nèi)容格式為：username:password 
冒號前為用戶名，后面為密碼。如果放到其他目錄，第2步中的authuserfile的目錄也要相應(yīng)的改動。 
2.創(chuàng)建MD5加密的密碼文件 
在命令控制臺Cmd下進(jìn)入你的Apache目錄下的bin目錄，輸入命令 
htpasswd -c E:\love\.htpasswd hackxfiles
接下去要求輸入兩次密碼 
上面命令行的意思是在E:/love/下創(chuàng)建密碼檔.htpasswd 。
好了，現(xiàn)在重啟Apache，在IE里訪問love就要求輸入用戶名和密碼了！（圖3-0）


小技巧：創(chuàng)建.htaccess文件的方法
1、可以創(chuàng)建文本文檔passwd.txt ，只要使里面的內(nèi)容為 
authtype basic 
authname "魔女の條件" 
authuserfile e:/love/.htpasswd 
require valid-user 
然后下面就是把文件改為.htaccess 
“文件”¬¬---“另存為”修改文件名為：.htaccess，保存類型為：所有文件。
2、方法同上，設(shè)置“文件夾選項”---“查看”---“隱藏已知文件類型的擴展名”的勾去掉，然后重命名passwd.txt為.htaccess也可以利用FTP客戶端工具的方法，直接瀏覽本地目錄，找到passwd.txt,重命名為.htaccess
3、使用ultraedit32 編輯內(nèi)容 
authtype basic 
authname "魔女の條件" 
authuserfile e:/love/.htpasswd 
require valid-user 
保存為.htaccess
4、由于Cmd中的Edit命令對中文的支持不是很好，所以用Edit編輯.htpasswd的方法在這不適用。


Ⅲ、基于Windows系統(tǒng)的第三方軟件服務(wù)器
第三方軟件OmniHTTPd Web服務(wù)器
oHTTPd有相當(dāng)完備地進(jìn)行目錄安全性設(shè)置的功能。它可以將指定的瀏覽目錄設(shè)為禁止所有用戶使用；為不同的用戶賦予不同的訪問權(quán)限；僅禁止或僅允許某個目錄或某些目錄進(jìn)行目錄瀏覽等。

測試環(huán)境：
操作系統(tǒng)：Windows 2000 Advanced Server
OmniHTTPd版本：OmniHTTPd V2.10
所屬公司：Omnicron Technologies Corporation （加拿大）
IP地址：192.168.10.1

由于OmniHTTPd版本低的原因，需要把系統(tǒng)時間修改為2004年1月1日之前的任意時間。為了實驗方便，我就不安裝DNS服務(wù)了，直接修改C:\WINNT \system32\drivers\etc\ hosts.sam文件，將“www.hackerxfiles.net對應(yīng)到IP地址“192.168.10.1”上并保存修改。
設(shè)置方法：
第1步、運行“OmniHTTPd Administration” 管理器，選“添加”增加虛擬主機“www.hackerxfiles.net”，點擊“編輯” 修改“www.hackerxfiles.net”的屬性。在“服務(wù)器”選項中，將“服務(wù)器根目錄”中的值改成“E:\kiss”。（圖3-1）

第2步、增加虛擬目錄：在“別名”選項中，在“虛擬目錄”欄輸入別名（如“/down”），在“實際路徑”中輸入其所在目錄完整路徑（如“E:\kiss\down”），再按“添加”即可。
第3步、選擇安全類型：選“安全”選項，再選中“用戶和目錄”。它可以為不同的用戶設(shè)置不同的權(quán)限，如果不選它，后面的幾項設(shè)置均無法使用。選“用戶與組”選項，在“會員下載中心”領(lǐng)域中新建“hacker”用戶,注意：均區(qū)分大小寫！設(shè)置目錄屬性：選“訪問控制列表”選項。新建“受保護(hù)的路徑”中輸入虛擬目錄名所在的路徑“/down”；然后在“保護(hù)領(lǐng)域”中輸入“會員下載中心”。（圖3-2）

第4步、打開“/down”的目錄屬性窗口，再按“屬性”（屬性）進(jìn)入“用戶許可”選項，為用戶“hacker”分配目錄權(quán)限,并且刪除列表中的“*”（允許所有用戶享有默認(rèn)的“Get”和“Post”權(quán)限），在“存取屏蔽”下只選中“只讀”。
至此所有配置工作已經(jīng)完成，重新啟動OmniHTTPd Web服務(wù)器。在瀏覽器中訪問虛擬主機“www.hackerxfiles.net”的其他任何目錄均可以直接進(jìn)入；但當(dāng)試圖打開“/down”或其下的任何一個目錄或目錄中的文件時，均會有密碼提示窗口出現(xiàn)，輸入相應(yīng)用戶名密碼后方能進(jìn)入（注意大小寫），而不同的用戶進(jìn)入之后會擁有不同的權(quán)限。（圖3-3）

黑客基地的“會員管理系統(tǒng)”是基于IIS網(wǎng)站服務(wù)器類的第三方軟件搭建的，由于包涵了商業(yè)機密在此就詳細(xì)介紹了。

綜合上述的四類方案，“收費網(wǎng)站---VIP會員專區(qū)”的搭建也不過如此。如果黑友想破解網(wǎng)站密碼，首先要判定的就是對方服務(wù)器的系統(tǒng)類型，在基于其搭建的原理下手。我想一定能起到事半功倍的作用。由于偶還很菜初來乍道的，才疏學(xué)淺。知識面不廣和閱歷還不夠多，文章中有什么參差，還希望各位高手加以指點。我今后一定吸取經(jīng)驗教訓(xùn)，為廣大黑友奉獻(xiàn)更好更精的好文章。^_^