传奇服务器与洞网论坛在同一服务器上会出现漏洞

漏洞起因：很多白菜级的站长和管理员,把 "洞网论坛"与传奇服务器同时架设到同一台服务器上！

1.详细步骤：

它时至今日，仍然有很多站长不知道去修改数据库的路径,所以,对于这招攻击很灵,特别是动网的,默认为dvbbs7.mdb,大家可以用baidu搜一下“dvbbs 传奇私服”

然后以例如1：http://www.xxx.com/bbs/data/dvbbs7.mdb

例如2：http://www.xxx.com/bbs/databackup/dvbbs7.mdb

找一下就会发现有太多的这样的肉鸡,其中有很多个是大型的网站.

2.找到类似的网站以后我们就用他的数据库连接把他的数据库给下载下来~

如何使用下载后的数据库？

很多时候,大家下载完之后数据库,第一选择就是暴力破解,其实不然,大家可以先去下载一个辅臣数据库浏览器,利用它查找(我以动网为例)DV_LOG,在上面的查询的字段名里选l_content后面的

关键字填上pass,找到的username2=风の白衣&password2=01180017&username1=风の白衣&Submit=添 加

这种的,其实password2=01180017就是他的前台或者后台的密码,如果是看到oldname开头的,那么就是后台密码.如果遇到前台找不到的话,我的建议是下载个dv.exe 这个小工具几秒之内就可以破解出8位数以内的秘码。

3.DV.EXE用法：

下载地址为:http://www.71345.com/soft/dv.exe

DV.EXE 是在 dos 下用的先把 DV.EXE 下载后放在 c盘 [注意] 一定 要放在c盘！！！然后打开一个 记事本把 Md5密码 放在 前面 一两个空格后 在放上帐号名字

例如：

4324456f4fgdsg54df5g hunke

45hygfh21dfg54dfgh45 linzi

可以同时破解 N行 然后另存为 1.txt 也保存在 c盘 然后在 dos 下 输入：dv -p 1.txt -b num

再然后按 回车 就可以了 如果密码为纯数字的那么 10 秒内 密码就出来了

dv -p 1.txt -b char

这个命令 为 纯字母 时间可能 会长一点

字母加数字 的 以及其他的 那就 要用字典了 那就比较麻烦了 这里 也不多说了~

还有 要强调的 一点是 网上破解Md5 密码的工具和方法很多

4.你查一下就清楚了，居然有80%的带DVBBS论坛私服网站都有这样的漏洞，郁闷啊！！！！　如果对IIS还有论坛不太了解的话，最好别放在自家机上，否则这将是私服最大的漏洞，因为网站和论坛是比较容易被入侵，这可不只是刷装备了哦！！

解决办法：

1. 更改你论坛数据库的路径以及后缀

2.租用虚拟主机架设论坛