看黑客是如何黑了落伍者的（图）

听说落伍分类信息程序日前更新了，我带着好奇的心情想要一番，看看其新品有何风貌。初见之下，这款产品确实保持着落伍的品牌特色，设计风格略显过时，但功能还算过得去，大体上没什么明显缺陷。

我更加注重的是实质性的东西。当我尝试连接服务器时，通过ping命令联系demo.im286，得到的IP是58.253.71.241。当我试图访问时，却提示“Directory Listing Denied”，这种体验让我有些失望和不悦。

随后，我转向查看开发者的站点——

与此我也打开了php的站点，注意到其页面底部显示使用了ecms系统。出于好奇，我开始尝试对其进行一些安全性检测。在访问特定的URL时，我发现了一些潜在的漏洞。其中两个看似不起眼的链接不仅出错了，还暴露了服务器的物理路径。这路径不仅揭示了某些重要文件的存放位置，还可能让我联想到数据库的配置信息等重要细节。

意识到这些漏洞的存在后，我决定深入一下。由于检测过程中发现了mysql的root权限，我决定使用工具pangolin尝试读取文件。经过一番努力，我终于读取到了setting.php文件里的root密码。

接下来，我开始尝试访问phpmyadmin的路径。令我感到顺利的是，我成功地访问了