网页qq抓取什么原理(如何通过动态网页来获取数据库的账号和口令和密码 )

　　网页qq抓取什么原理(如何通过动态网页来获取数据库的账号和口令和密码

)

　　（1）了解动态网页（2）通过动态网页文件获取数据库账号和密码）

　　动态网页的显着特征之一是与数据库的交互。只要涉及到大型数据库，动态网页调用其数据库一般都需要一个数据库账号和密码。这些大型数据库主要以 SQL Server 和 Oracle 数据库为代表。访问一般不设置密码。即使设置了密码，您也可以使用“访问密码查看器”获取其密码。当网站或信息系统调用数据库时，需要连接。考虑到执行效率和编码效率，一般将数据库连接写成一个单独的模块。这些文件主要用于连接数据库。这些文件将收录诸如数据库服务器的 IP 地址、数据库类型、

　　在控制或获取Shell时，可以通过查看Index.asp、Index.php、Index.jsp等方式查看数据库连接文件。数据库连接文件的名称比较容易识别，如conn.asp、dbconn。 asp等这些文件可以在网站根目录，inc文件夹，includes等文件中。通过查看这些网页文件，获取数据库IP地址、数据库用户账号和密码，获取的信息可用于计算机渗透、提权、完全控制。本案例以国内某视频招聘网为例，介绍如何通过动态网页获取数据库的账号和密码。

　　(一）确认网站脚本类型。确认网站脚本类型主要是通过打开网站并访问其网站中的网页来确定的，在这种情况下，打开IE浏览器，在其地址栏输入IP地址“61.*.*.*”，打开网站如图1，可以在底部状态栏浏览查看详细地址和文件显示，本例中可以看到“*.*.*.*/shi.asp”，说明网站脚本类型为asp。

　　图1 获取网站脚本类型

　　J技能

　　(1）可以在浏览器中直接输入“*.*.*.*/index.asp”、“*.*.*.*/index.php”、“*.*.*.*”/ index.jsp”等来判断网站的类型，方法是IP地址+文件名，文件名可以是index.asp(jsp/php/aspx)或者default.asp(jsp/php/ aspx) 等。

　　(2）如果打开网页后无法确定网站的类型，可以通过点击网站中的链接地址来确定。如果打开网页的名称链接为asp，则网站脚本类型为asp，其他脚本类型判断原理相同。

　　(3）打开 Internet 信息服务 (IIS) 管理器后，单击其 网站 属性中的文档以获取其 网站 默认文档名称。

　　(二）获取网站的具体目录位置。本案例利用漏洞攻击方式获取系统用户账号和密码，使用Radmin远程控制软件直接和完全控制，进入系统后，桌面有“Internet信息服务”的快捷键，双击快捷键进入“Internet信息服务（IIS）管理器”，依次展开为网站 ，选择“Web”网站文件夹，右击，然后选择“Properties”打开Web Properties窗口，如图2，然后点击“Home Directory”得到它的网站root目录为“D:\*”。

　　图2 获取网站根目录位置

　　＆操作说明

　　本例中操作系统为Windows 2003 Server，所以其Web目录与Windows 2000 Server不同，一般操作类似。打开其 IIS 管理器后，找到 网站 目录并展开它以了解 网站 的确切位置。

　　(三）查看web脚本获取数据库连接文件。从第二步获取网站文件所在的物理路径，通过资源管理器，然后使用Notes打开网站调用首页文件index.asp，如图3，从中可以得到网站数据库连接文件最有可能是“i_include/数据库_.asp”。