Aspx网站入侵思路
来源:互联网 发布:如何做好一个美工 编辑:程序博客网 时间:2024/04/27 16:39
ASP其实就是我们所说的ASP.NET的网站,我们一般遇到.net的网站时
通常会注册个用户
第一选择利用上传判断的漏洞 加图片头GIF89A 顺利饶过
第二种就是注入了, 在?id=xx后加单引号 " ' "
一般情况下 用NBSI 啊D来SCAN 都可以发现BUG页面
而且国内大多.net都是使用MSSQL数据库
发现注入点也可以从login下手 其实这个方法目前的成功率在75%
不过遇到搜索型的,和没错误信息回显的时候 在这里就卡住了
大家可以看看网上一篇 搜索型注入的文章 运气好,数据库和WEB在一起
直接在搜索里写备份LOG语句 如果输入框限制字符 可以本地做个POST表单
也可以用WsockExpert抓包 对search.aspx?后的值分析后加注入语句
获取路径就更好办了 只要web.config里
代码如下:
<!-- Web.Config 配置文件 -->
<configuration>
<system.web>
<customErrors mode="On"/> '这里为off就失败
</system.web>
</configuration>
那么只需要在任意一个文件名前
如allyesno.aspx 改为~allyesno.aspx 顺利获得WEB绝对路径
运气好,发现登陆后台:
比如:http://allyesno.cnblogs.com/admin/login.aspx
如果输入密码错误返回到http://allyesno.cnblogs.com/admin/error.aspx
如果输入http://allyesno.cnblogs.com/admin%5Cindex.aspx说不定可以饶过验证。
后台饶过方法:
'or''='
'or''='
或者
'or'='or'
'or'='or'
我再加个
net1.0爆路径
在网站地址 最后一个/ 后加' 可爆出网站路径
如:http://abc.com/aspx?id=1 就加成 http://abc.com/'aspx?id=1 可出爆路径
注明:net2.0以上无此漏洞
- Aspx网站入侵思路
- 入侵指定网站思路
- 入侵aspx网站的经验
- Aspx目标网站入侵之旁注加跨站入侵
- 国外黑客们的入侵网站思路
- 网站入侵思路之菜鸟渗透篇
- 国外黑客们的入侵网站思路
- 浅谈网站入侵的常用方法和一般思路(上)
- 黑客网络入侵大型网站的完整思路
- 网站入侵思路(初级黑客渗透篇)
- 网站入侵思路(初级黑客渗透篇)
- 网站入侵思路(初级黑客渗透篇)
- 入侵指定网站的思路~菜鸟必学
- 网站入侵思路(初级黑客渗透篇)
- 网站入侵
- aspx web入侵渗透经验总结
- 是搞网站的都应该了解-浅谈网站入侵的常用方法和一般思路
- 入侵思路整理笔记
- case语句在select中的用法,以及,insert和select和case合用的例子
- 【转】interrupt 和 using 在C51中断中的使用
- 配置非DHCP下的IP和MAC绑定
- Beej网络socket编程指南
- 关于优化的一点小总结
- Aspx网站入侵思路
- Ubuntu root用户启动
- 成都纯红太阳之可见光的本质特性和范围谭
- 新手向导--logo学习导航
- 純手工安裝 MinGW (適用 gcc 4.5)
- CentOS shell中知识
- centos 5安装图解
- Asp和Asp.net的区别
- 数据安全技术几种加密算法