下面我们就来聊一下社会工程学入侵:

　　当然，社会工程学的原本意思我就不详细解释了，因为我看了很久都没有看出是什么意思来，枯燥的厉害，是架着眼镜的老先生研究的问题，我们不去考虑。我们说的是社会工程学在信息安全方面的实现。

　　基本的意思就是:利用一切途径、手段，搜集攻击目标的资料，然后利用已知资料攻陷对方。比如某某网站的站长在他那里发表了很多不利于我的言论，要是他在我面前，我立刻会扑上去咬死他(好在不在我面前，呵呵)，但是我却是一个技术菜鸟，什么注入、溢出、脚本之类的一点也不懂，怎么办?就此罢休?——当然不!下面就看我是如何搞定一个网站的。OK，Let’s go!

　　首先……打开我要攻击的网站，首先看看各个页面，浏览一下。就好比小偷在下手之前要先查看一下身边的地形、人群一样，就是“踩点”了。首页做的不怎么样，有个新闻系统，点一条新闻之后弹出页面，看了就很熟悉。在www.target.com/news 后面添加admin进入管理目录看看，因为很多管理系统这个都是默认的管理目录。结果无法显示，又用admin.asp和login.asp这两个使用频率很高的文件，也无法显示。结果一看浏览器的标题栏，赫然写着“业一新闻系统2.9增强版”!好像网上比较多哦。下载一个看看!

　　立刻上www.baidu.com搜索一下“业一新闻系统2.9增强版”。找到了用这个做新闻系统的，但是没有找到这个的下载，但是找到了他们的官方网站，于是下载了一个“业一新闻系统2.9专业版”，应该都差不多吧。

　　有个“安装说明”，打开看看(图1):

　　上面的三处地方:

　　A、我们知道了后台管理的文件是m_login.asp，为进入后台奠定第一步，否则即时有管理员权限也没有地方管理 J

　　B、默认的用户名和密码，这年头真的有人不修改就直接用的，我以前曾经用默认用户名和密码黑过不少留言本和其它类似的系统。

　　C、默认的数据库名称news.mdb，是Access的数据库，在浏览器可以直接下载的。

　　现在我们开始第一步，进入www.target.com/news/m_login.asp，显示出要管理员登陆的界面。用默认的用户名admin、密码admin看看，提示错误。然后呢?在浏览器写上www.target.com/news/news.mcb就是默认的数据库路径了，回车。

天啊——居然提示文件下载!幸福ing……保存。用Office组件中的Access打开，终于看到了数据库里面的文件。本想还要再下载一个破解Access数据库的东东来者，结果数据库没有加密。嘿嘿，用户名target、密码target。用这个登陆m_login.asp成功(图2):

　　还是添加一条新闻警告一下吧，谁叫他这么大意的!^_^