第165部分(第3/4 頁)

在時數的話，免費會員和加值會員並無兩樣，但是若能進入更深入的頁面而找到當中的漏洞，那麼變成超值會員就值得了。’

此時，宇成啟動炎黃系統瀏覽器並掛上自己寫的外掛，這是有助於從cookie與session中下手替換身份的程式。因為不能直接利用炎黃系統探測，接下來的動作宇成必需依靠自己。

分析了幾個頁面後宇成心想：‘找到幾個地方，也許可以做SQLInjection攻擊，但還是要看運氣，守天多媒體不可能放任資訊隱碼漏洞的存在，至少一般已知的不可能。有了，利用炎黃系統瀏覽器攔截按下SUBMIT後傳送的資訊，從中修改一下，或許還有機會。’

宇成嘗試了幾個頁面，修改傳出去的引數，但得到的都是錯誤訊息。不過，在這些錯誤訊息中，讓宇成直覺感應到了一個可用來攻擊的目標。

宇成興奮的看著螢幕心想：‘在嘗試進入封閉特區時出現ta_media_usererror的訊息，並且是回傳值false，搞不好為了節省伺服器的資源，以及保護硬碟不做微讀寫，使用者許可權是一同寫入client端連線資料的。如果我能試著找出超值會員的許可權屬性碼，併成功修改，或許有機會改變許可權！’

此時宇成又注意到右上角有一個超連結是到討論區的，便連過去一看，這正是時下流行的Blog式專區。免費使用者只能參與公眾討論區和私人討論區，但是加值使用者與超值使用者則可以擁有自己的頁面，編寫屬於自己的看片心得，以及推薦交友等等功能。在右上角一個浮動頁框，則顯示著線上人數和使用者名稱等，有些人選擇公開，有些人選擇匿名，但會員級別全標示在左側。

宇成稍微看了一下：‘嗯．．這是用來即時交友傳訊用的，這麼說來在伺服器中有一個臨時的資料表會紀錄這些東西。有了，在上一層首頁面原始碼中有一些hidden語法引數，如果我用炎黃系統瀏覽器重新讀取這個頁面，同時修改引數加上ta_media_user專案，不知道能不能讀到使用者許可權別的屬性程式碼呢？’

宇成立即開一個新的頁面並加上引數讀取，果然在名字右側顯示了各會員級別的屬性程式碼，免費會員是fp_free、加值會員是fp_standard、超值會員是fp_super。

宇成開始進入其他頁面：‘好，終於得到了屬性程式碼，那麼我就在進入頁面前修改ta_media_user引數值為fp_super，或許可以開啟超值使用者的許可權也說不定！對了，要是可以的話就把這個值寫入自動替換區，炎黃系統瀏覽器就是有這樣的好處，自動起來工作方便許多。’

成功變身成超值會員許可權，雖然資料庫裡還是紀錄宇成的帳號是免費會員，但隱藏的功能與連結確實都出現了。宇成嘗試了新的頁面，甚至註冊Blog專區不放過任何一處可以用來輸入訊息的地方，但完全沒有可用作SQLInjection攻擊的目標。不過，宇成發現到了超值使用者有一個版主競逐功能，然而點選下去卻傳回資格不符的回應，顯然這一連結當中並不只讀取ta_media_user判斷。

宇成再細看了一下說明：‘嗯，原來如此，積點要在500以上。有了，在讀取的過程中有傳出值，並且重新導向，這是我最後的機會了！’

下定決心，宇成將一切賭在重新導向的頁面，守天多媒體以為是自動的便算漏了這一關，給了宇成一個機會，讓他將資料表內容全給摸熟了，同時找到了上傳圖片元件的一個bug！

宇成心喜，開始修改網頁原始檔：‘就是這裡！將這個Javascript副檔名判斷機制取消掉，同時讓炎黃系統在編譯木馬時產生偽裝性質的JPEG資訊，避開兩道檢測關卡。在資料庫裡紀錄的雖是相對路徑，可是上傳的圖片從漏洞中可以讀出來是擺在H磁碟中picture目錄下各會員分屬資料表名稱所命名的目錄，而紀錄著我的資料表名稱是x4d8f，再加上資料庫中的相對路徑，兩個結合在一起的話，就成了上傳檔案的所在位置了！’

修改完網頁，同時讓炎黃系統產生一個可控制的DoS木馬，宇成透過破解的上傳圖片機制將檔案丟入伺服器中。接著，宇成利用圖片管理程式一個呼叫的漏洞準備執行這個木馬。

此時守在這部伺服器旁的守天多媒體一般工作員正打著哈欠看著螢幕道：‘啊！真是無聊，為什麼要防守？資料庫中沒人登入，防火牆也根本沒異狀啊！’

另一邊的守天特務成員則說：