脚本入侵 ASP网站入侵常用的一些技巧分享
发布时间:2011-04-24 15:42:49 作者:佚名 我要评论
脚本入侵-ASP网站入侵一些技巧 先说明下 先看下是不是html转的asp生成的站
如果是html格式的站
我们先打开网站
然后单击鼠标右键 按查看源文件-编辑-查找
输入asp 看有没有网站ASP文件或ASP带参数
1:注入点
先把IE菜单=>工具=>Internet选项=>高级=>显示友好 HTTP 错误信息前面的勾去掉。
否则,不论服务器返回什么错误,IE都只显示为HTTP 500服务器错误,不能获得更多的提示信息。
http://site/web0day.asp?id=1
我们在这个地址后面加上单引号’ 然后and 1=1 正确 and 1=2 错误的话就说明存在注入漏洞了!
注入点爆库方法
先举个例子一个注入http://site/asp/web0day.asp?id=1
然后改成爆库http://site/asp%5cweb0day.asp?id=1
利用%5c爆数据库
如果不注入点的话 就用批量扫描注入点工具扫描 防注入就用中转注入
2:上传漏洞
用一些扫描上传漏洞字典或工具扫描 百度搜索把一大把
3:后台
1:
一般站都是admin manage目录 有这个目录不可以见后台
用一些扫描后台漏洞字典或工具扫描
注入如果没有办法的情况 我们就一个网站目录扫描
比如:http://www.xxx.com/manage/
2:或单击网站图片按 鼠标右键-属性 看地址
比如
http://www.xxx.com/images/123.jpg
我们可以看下可以列目录不
http://www.xxx.com/images/
如果是http://www.xxx.com/admin/images/123.jpg
一般都后台http://www.xxx.com/admin/ 有时候可以直接转到后台
不行的话就直接这个目录用字典或工具扫描
3:看网站做下面版权备案那里 看
比如Powered by xxx的 或网站连接
4:后台入侵
一般入侵后台常用的密码admin admin admin admin888 等等
万能密码'or'='or' 'xor 'xor
5:编辑器漏洞 不会的就在百度搜索把一大把
6:注入点入侵的一些问题
1:有时候注入点找不到表段 先看后台有没有什么相关的资源
看网站做下面版权备案那里 看 比如Powered by xxx的 或网站连接 在百度下源码分析
2:有时候注入点找不到字段 我们就到后台-按查看源文件 看用户一些字段
我们先打开网站
然后单击鼠标右键 按查看源文件-编辑-查找
输入asp 看有没有网站ASP文件或ASP带参数
1:注入点
先把IE菜单=>工具=>Internet选项=>高级=>显示友好 HTTP 错误信息前面的勾去掉。
否则,不论服务器返回什么错误,IE都只显示为HTTP 500服务器错误,不能获得更多的提示信息。
http://site/web0day.asp?id=1
我们在这个地址后面加上单引号’ 然后and 1=1 正确 and 1=2 错误的话就说明存在注入漏洞了!
注入点爆库方法
先举个例子一个注入http://site/asp/web0day.asp?id=1
然后改成爆库http://site/asp%5cweb0day.asp?id=1
利用%5c爆数据库
如果不注入点的话 就用批量扫描注入点工具扫描 防注入就用中转注入
2:上传漏洞
用一些扫描上传漏洞字典或工具扫描 百度搜索把一大把
3:后台
1:
一般站都是admin manage目录 有这个目录不可以见后台
用一些扫描后台漏洞字典或工具扫描
注入如果没有办法的情况 我们就一个网站目录扫描
比如:http://www.xxx.com/manage/
2:或单击网站图片按 鼠标右键-属性 看地址
比如
http://www.xxx.com/images/123.jpg
我们可以看下可以列目录不
http://www.xxx.com/images/
如果是http://www.xxx.com/admin/images/123.jpg
一般都后台http://www.xxx.com/admin/ 有时候可以直接转到后台
不行的话就直接这个目录用字典或工具扫描
3:看网站做下面版权备案那里 看
比如Powered by xxx的 或网站连接
4:后台入侵
一般入侵后台常用的密码admin admin admin admin888 等等
万能密码'or'='or' 'xor 'xor
5:编辑器漏洞 不会的就在百度搜索把一大把
6:注入点入侵的一些问题
1:有时候注入点找不到表段 先看后台有没有什么相关的资源
看网站做下面版权备案那里 看 比如Powered by xxx的 或网站连接 在百度下源码分析
2:有时候注入点找不到字段 我们就到后台-按查看源文件 看用户一些字段
相关文章
- 最近看到网上曝出的dedecms最新版本的一个注入漏洞利用,漏洞PoC和分析文章也已在网上公开.但是在我实际测试过程当中,发现无法复现2013-06-11
- 春节呆在家里上网,我表哥突然找我说要一个DJ网站的VIP会员,说搞定后请我吃KFC,于是就答应了。2011-03-22
- 众所周知,因使用简单、客户群多,织梦CMS一直被爆出许多漏洞。今天小编在群里得到织梦官方论坛某版主可靠消息:DEDECMS爆严重安全漏洞,近期官方会发布相关补丁,望大家及2011-08-20
- 这篇文章主要为大家介绍了Linux系统采用netstat命令查看DDOS攻击的方法,对于网络安全而言非常重要!需要的朋友可以参考下2014-07-05
- 讯时系统(xuas)最新通杀漏洞0day图文说明,使用讯时网站管理系统的朋友可以参考下。2011-07-15
- 手工注入方法,方便大家测试程序漏洞,本人只供学习交流,不建议搞破坏。2011-11-03
phpcms2008 代码执行 批量getshell EXP(使用菜刀)
这篇文章主要介绍了phpcms2008 代码执行 批量getshell EXP的相关资料,需要的朋友可以参考下2014-05-09- 脚本入侵-上传漏洞总结篇(臭小子),从事于网站开发的程序员要看下,不要让自己的程序别黑客利用。2011-04-24
- php后台插一句话的思路加114网址导航后台拿webshell的方法。2011-09-29
- DDos攻击是现在大部分用户最喜欢的一个话题,近两年来发展态势也渐趋平缓,欧洲反垃圾邮件组织Spamhaus突然遭受到高达300Gbps的大流量DDos攻击被认为是史上最大DDoS攻击,2016-09-20
最新评论