注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

 
 
 
 
 

日志

 
 

asp网站渗透的经验讲解  

2014-12-13 20:37:42|  分类: 技术教学文章 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

1.注入攻击

 

2.未验证的上传页面

经典上传截取拿shell(修改当前页面的参数,达到伪造恶意攻击)

经典上传抓包拿shell(抓数据包,利用工具去自动判断验证方式,修改并上传)

 

3.万能密码与登陆框注入

    'or'='or' 真条件绕过不安全的过滤机制

    登陆框输入注入语句查询利用(不安全的过滤机制)

 

4.IIS6解析漏洞////或者其他解析漏洞

     X.asp;.jpg  x.asp;x.jpg(文件格式形式解析)

     X.asp/x.jpg(文件夹形式解析)


 5.文件下载漏洞


ewebfck漏洞资料

     修改上传类型参数,进行上传后门格式

     结合解析漏洞加以利用

 

0xA0后台功能利用

0xA1 配置文件插马

0xA2 数据库备份

0xA3 后台中的上传页面

0xA4目录遍历与任意文件下载

0xA5 利用SQL执行功能导出SHELL

 

留言板攻击与非法注册

     结合xss攻击盗取cookie,结合CRSF攻击劫持管理浏览器

     得到注册用户,可以伪装cookie,或者直接上传文件验证上传漏洞

 

ACCESS跨库查询测试站点

     基于同服务器上的不同站点的跨库,利用到sql命令去得到一些信息

  评论这张
 
阅读(191)| 评论(0)
推荐

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017