脚本入侵 ASP网站入侵常用的一些技巧分享
如果是html格式的站<br />我们先打开网站<br />然后单击鼠标右键 按查看源文件-编辑-查找<br />输入asp 看有没有网站ASP文件或ASP带参数<br /><strong>1:注入点<br /></strong>先把IE菜单=>工具=>Internet选项=>高级=>显示友好 HTTP 错误信息前面的勾去掉。<br />否则,不论服务器返回什么错误,IE都只显示为HTTP 500服务器错误,不能获得更多的提示信息。<br /><span style="COLOR: #0070af">http://site/web0day.asp?id=1</span><br />我们在这个地址后面加上单引号’ 然后and 1=1 正确 and 1=2 错误的话就说明存在注入漏洞了!<br />注入点爆库方法<br />先举个例子一个注入<span style="COLOR: #0070af">http://site/asp/web0day.asp?id=1</span><br />然后改成爆库<span style="COLOR: #0070af">http://site/asp%5cweb0day.asp?id=1</span><br />利用%5c爆数据库<br />如果不注入点的话 就用批量扫描注入点工具扫描 防注入就用中转注入<br /><br /><strong>2:上传漏洞<br /></strong>用一些扫描上传漏洞字典或工具扫描 百度搜索把一大把<br /><strong>3:后台<br /></strong>1:<br />一般站都是admin manage目录 有这个目录不可以见后台<br />用一些扫描后台漏洞字典或工具扫描 <br />注入如果没有办法的情况 我们就一个网站目录扫描<br />比如:<span style="COLOR: #0070af">http://www.xxx.com/manage/</span><br />2:或单击网站图片按 鼠标右键-属性 看地址<br />比如<br /><span style="COLOR: #0070af">http://www.xxx.com/images/123.jpg</span><br />我们可以看下可以列目录不<br /><span style="COLOR: #0070af">http://www.xxx.com/images/</span><br />如果是<span style="COLOR: #0070af">http://www.xxx.com/admin/images/123.jpg</span><br />一般都后台<span style="COLOR: #0070af">http://www.xxx.com/admin/</span> 有时候可以直接转到后台 <br />不行的话就直接这个目录用字典或工具扫描<br />3:看网站做下面版权备案那里 看<br />比如Powered by xxx的 或网站连接<br />4:后台入侵<br />一般入侵后台常用的密码admin admin admin admin888 等等<br />万能密码'or'='or' 'xor 'xor<br />5:编辑器漏洞 不会的就在百度搜索把一大把<br /><br />6:注入点入侵的一些问题<br />1:有时候注入点找不到表段 先看后台有没有什么相关的资源<br />看网站做下面版权备案那里 看 比如Powered by xxx的 或网站连接 在百度下源码分析<br />2:有时候注入点找不到字段 我们就到后台-按查看源文件 看用户一些字段
頁:
[1]