入侵回忆录 韩国ESOFT

渗透这个公司是我觉得是我运气最好的一次.
05年5月,刚从学校毕业的我和几个关系很好的朋友聚在一起开起了美丽世界的私服,我们手上的服务端是拿的台湾的,虽然可以架设起来但是没
有源码似乎有点不爽.我将目标瞄向了韩国<美丽世界>--http://www.nageonline.com,经过一个网上的扫描,上传,注入硬是没发现一个点,郁闷
啊~遂去睡觉.
第二天起来,晚上6点左右,改变思路去弄他公司的其他站,经过观察这个游戏是ESOFT公司研发的,其公司所研的游戏还有<龙族>.<科隆>.<墨香>,
于是乎采取常用方法:注册ID→找到论坛的帖图版块→直接上传WEbShell.由于3个站并不是同一模版,所以上传的位置也不是一样,这里我直接把结果写出来.

<龙族>:这个站主要是因为管理员在news目录下有个admin.asp的文件,而这个文件会自动登陆到后台并更新为管理员,然后我在其后台找了半天终于找到一个上传工会图片的地方成功上传asp木马.
<科隆>:采取默认方法似乎不行,论坛的图片不能直接上传,有限制,但是这个站可以注入,于是乎得到后台密码,但是后台找不着呀~用软件开字典扫,同样找不到.后来就到他网站随便点开几个连接,发现其新闻里使用的图片连接为http://admin.croumonline.co.kr/....(这里很常用哦,很

多游戏站就是一个admin的子域名作为管理员登陆的后台),找到后台就好办多了,帖个新闻,直接上传个asp文件就得到shell了.
<墨香>:这个我记不太清楚怎么得到shell了,不是从论坛上传的shell就是注入得到管理密码从后台传的了.