combi 2006-4-10 15:50
一種簡單易用的破解網站的好工具!
Zspoof 使用說明
Zspoof是一欺骗软件。我打个比方,比如说A站与B站建立了一种合作关系,A站的注册会员可以免费欣赏B站的部分或全部内容,那么我就可以利用一些软件来欺骗B站,让B站错认为我是来自A站的合法会员,这样,我就成功的进入了B站。这种欺骗方式就是Zspoof。
步骤一:
1、下载zspoof应用文件。
2、解压后zspoof目录中会生成3个文件:readme.txt \\ spoof.txt \\ spoof.exe
3、双击spoof.exe文件后,会出现一个对话运行框。
4、对话运行框上面一共有5个按扭分别是:Add many \\ Add \\ Edit \\ Delete \\和最右边的spoof。
Add many 增加多数
Add 增加
Edit 编辑
Delete 划除
spoof 诳骗
步骤二:
1、点击Add按纽后,会出现三个文本框分别是:
Description \\ Target Url \\ Referall
Description:按你喜欢的类别可以起名字,比如:lolita、mature、anal等等;
Target Url :我们要欺骗的地址,或者说目标地。
Referall:必须来自可以进入 Target Url.
如果tar=ref,那么后两项所填内容一样。
2、上述内容填写完毕后,当然就按OK键了。
3、在spoof键旁边有一个下拉菜单键,点击选择后就会出现你刚填写网站的名字。
编辑 Spoofs: 只需从下拉菜单中选择一个你想编辑的spoof 并且点击 "Edit", 你就可以改变名字, Ref, 和Target url\'s..
4、最后,点击spoof,就会弹出一个浏览器窗口,内容嘛,是你想要的吗这样就可以进入原来需要密码才能进入的网站了,现在没有密码也可以看和下载大片和精彩图片和无数电视了。
如何找target url?
关于target url,没什么技巧,最好的方法,就是你拥有一个u/p进去看看就行了,如果实在没有的话
backdoor与spoof的区别:
很多朋友把backdoor和spoof混为一谈,其实不然,二者是有区别的。
backdoor其实是在某些网站中,由于管理员疏忽,未将一些本应该保护的部分内容加以保护,而这些未保护好的内容就是所谓的backdoor。而spoof则是一种欺骗方式。我打个比方,比如说A站与B站建立了一种合作关系,A站的注册会员可以免费欣赏B站的部分或全部内容,那么我就可以利用一些软件比如:(zspoof)来欺骗B站,让B站错认为我是来自A站的合法会员,这样,我就成功的进入了B站。这种欺骗方式就是spoof。
如何找backdoor:
由于我才疏学浅,一直没有发现什么寻找backdoor的好方法,就把自己的一些经验说一下。不知大家有没有注意到,当我们利用一个pass进入某个网站的会员区时,浏览器的url框,是包括username和password的,而当我们浏览这个网站会员区的某些内容时,url框有时是不包含username和password的,而这个页面就有可能是backdoor(只是有可啊)。或者当我们点击会员区内的某个连接时,有时会弹出一个新的窗口,而这个窗口的url也是不包括u/p,那么这个页面也有可能是backdoor。
至于到底能否找到真正的backdoor,还是需要些运气了。强调一点,利用这种方法找到的页面,只是有可能backdoor,并非肯定。
如何找spoof:
大家一定很奇怪,spoof是怎样欺骗B站,让他错以为我是来自A站的合法会员呢?其实这是利用了http协议的核心—referer(参考站点)。我们利用http协议来发送和接受一些信息。当我想进入B站时,我就向B站发送一个虚假的请求,这个“请求”中有一部分内容就是http HEADER,而referer就包含在其中,当这个虚假请求中的referer就是A站时,那么我就可以堂而皇之的进入B站了。于是,寻找spoof的关键,也就是寻找referer(参考站点)和target url(目标站)了。
如何找referer:
比如:我现在在浏览器的url框,输[url]www.google.com[/url],于是我进入google页面,这时,我url框[url]www.google.com[/url]删掉,再输入[url]www.passfan.com[/url],referer就是google,而target就是passfan。也就是说,我们在浏览器中最后一个访问的站点的url就是referer那么当我想要进入[url]www.somesite.com[/url]会员区时,应该怎么取得它的referer?
首先,我来到login页面,点击login,弹出对话框,我随便输入些u/p,于是,我会被带入另一个页面(当然不会是会员区,除非你超级幸运。验证页面的url就有可能referer!为什么呢?大家可以分析一下原理,当我随便输入u/p后,某个网站就会验证我的u/p,正确,进入会员区,出错则不能进入会员区,如果出错时导入的那个页面的url,就是验证我的u/p的某个站点的url,那么我在进入会员区前最后访问的url也必是这个url,所以我们就找到正确的referer了!
不过这种情况也不一定,因为某些验证站点,在验证u/p出错后,就会将用户导入另外一个error页面,而不是验证u/p的那个页面,所以此时error页面的url当然就不是正确的referer了!
举个例子:我想进入somesitede的members区。首先来到login页面。[url]http://www.somesite.com/login.html[/url] -> login url 然后随便输入u/p,按回[url]http://www.somesite.com/checku/p.cgi[/url] -> cgi scriptchecks login data
如u/p正确,则进入会员区[url]http://members.somesite.com/[/url] -> members url. 很显然会员区的referer其实就是[url]http://www.somesite.com/checku/p.cgi[/url]
大家应该知道,验证u/p的工作往往都是由一些bill公司来做的,所以[url]http://www.somesite.com/checku/p.cgi[/url]往往就是某些bill公司的url。于是,我们为了找到真正的url就必须查看login页面的源代码,分析一下当点击login时,表单会向哪里发送验证请求进行验证,于是我们就可以找到正确的referer了!另外referer往往都是.cgi
利用referer来验证u/p本身是一种很有用的验证方式,但同时也是一种比较脆弱的安全机制。并非所有的站点都有效,只适合某些站点,其中redcloud就是一个代表,所以关于redcloud的spoof可以说是非常之多!大家可以尝试地去找找
5:补充
a.注意:1.2.3都是非流媒體技術搞出來的,其中的[url]mms://203.133.6.195/gtv39nch[/url]也是嗅探器探不出來的可以用嗅探軟件去試一下
b.注意:新東寶還存在sql漏洞,有興趣的朋友可以去試一下。並且新東寶中的在線電視可以用sql漏洞進去後,用嗅台器可以探出真實地址
注意:有人反映說,去下載了後變為.wmv的文件不能播放。的確,它是通過認證加密的,所以請大家不要再花時間去下載,白費時間,如果是可以看的,我也早就告訴大家了,所以,大家還是按我以上所說的方法去做。
另外附上两个偷拍站的spoof大家试一下看能不能用,希望大家多发些spoof 毕竟他比密码能用的时间要长的多。
T:[url]http://www.homempegs.com/members[/url]
R:[url]http://www.homempegs.com/members[/url]
附件里面有 Zspoof v2.41破解网站軟件及破解的网站可以連接。
另外[url]http://www.mocosoftx.com/[/url] 此鏈接是可破解的网。
很多的,里面有使用的說明 ,英文的,但是一看就懂。祝大家玩得愉快!!!!!!!
[[i] 本帖最后由 combi 于 2006-4-18 08:12 AM 编辑 [/i]]
guanseng 2006-5-30 16:48
想法是不错的,但是这种情况在实际操作上还有一定的漏洞,一般来说,现在这种信任链接已经很少了。
glx12427 2006-6-10 12:29
我看的是头有点大,不知道楼主是不是可以 用一种极度简单的说明(1.2.3...步骤指点法)教教我们一些电脑白痴啊!!本人就是一个!!!!!!呵呵
sunnyboy 2006-6-13 20:02
厉害,厉害.我要有这么厉害的话.早就去整小日本的网站了
在线客服(1)