asp网站渗透的经验讲解

1.注入攻击

And 1=1 1=2

Order by xx

Union select 1,2,列名,.... From 表名

2.未验证的上传页面

经典上传截取拿shell(修改当前页面的参数,达到伪造恶意攻击)

经典上传抓包拿shell(抓数据包,利用工具去自动判断验证方式,修改并上传)

3.万能密码与登陆框注入

‘or‘=‘or‘ 真条件绕过不安全的过滤机制

登陆框输入注入语句查询利用(不安全的过滤机制)

4.IIS6解析漏洞

X.asp;.jpg  x.asp;x.jpg(文件格式形式解析)

X.asp/x.jpg(文件夹形式解析)

eweb与fck漏洞资料

修改上传类型参数,进行上传后门格式

结合解析漏洞加以利用

0xA0后台功能利用 7

0xA1 配置文件插马 7

0xA2 数据库备份 8

0xA3 后台中的上传页面 8

0xA4目录遍历与任意文件下载 8

0xA5 利用SQL执行功能导出SHELL 9

留言板攻击与非法注册

结合xss攻击盗取cookie,结合CRSF攻击劫持管理浏览器

得到注册用户,可以伪装cookie,或者直接上传文件验证上传漏洞

ACCESS跨库查询测试站点

基于同服务器上的不同站点的跨库,利用到sql命令去得到一些信息

时间: 2024-11-05 18:45:12

asp网站渗透的经验讲解的相关文章

php网站渗透的经验讲解

PHP网页的安全性问题 针对PHP的网站主要存在下面几种攻击方式: 1.命令注入(Command Injection) 2.eval注入(Eval Injection) 3.客户端脚本攻击(script Insertion) 4.跨网站脚本攻击(Cross Site scripting, XSS) 5.SQL注入攻击(SQL injection) 6.跨网站请求伪造攻击(Cross Site Request Forgeries, CSRF) 7.Session 会话劫持(Session Hija

总结16种网站渗透技巧经验分享

1.利用网站过滤不严直接绕过后台验证,在网站后面加上 admin/session.asp 或 admin/left.asp 2.有的网站进后台会出现一个脚本提示框,输入:administrator 即可突破!因为admin代表以管理员身份进入的意思. 3.有的网站开了3389,入侵之前先去连接3389,尝试弱口令或是爆破,再者就是按5次shift键,看看有没前人装过后门,然后再社工密码. 4.有时候进后台会弹出提示框“请登陆”,把地址抄写出来(复制不了),然后放在网页源代码分析器里,选择浏览器-

了解网站渗透

在百度找到这样一片文章:讲的是渗透的过程,虽然还是有很多不懂,觉得写的不错,留下来慢慢研究: 首先把,主站入手 注册一个账号,看下上传点,等等之类的. 用google找下注入点,格式是 Site:XXX.com inurl:asp|php|aspx|jsp 最好不要带 www,因为不带的话可以检测二级域名. 扫目录,看编辑器和Fckeditor,看下敏感目录,有没有目录遍及, 查下是iis6,iis5.iis7,这些都有不同的利用方法 Iis6解析漏洞 Iis5远程溢出, Iis7畸形解析 Ph

网站渗透测试原理及详细过程

网站渗透测试原理及详细过程 渗透测试(Penetration Testing)目录 零.前言一.简介二.制定实施方案三.具体操作过程四.生成报告五.测试过程中的风险及规避参考资料FAQ集 零.前言 渗透测试在未得到被测试方授权之前依据某些地区法律规定是违法行为. 这里我们提供的所有渗透测试方法均为(假设为)合法的评估服务,也就是通常所说的道德黑客行为(Ethical hacking),因此我们这里的所有读者应当都是Ethical Hackers,如果您还不是,那么我希望您到过这里后会成为他们中的

访问asp网站时,页面上显示请求的资源在使用中

服务器生产环境: 操作系统:WIN2003 WEB:IIS 6.0 问题过程: 9月7日上午8:40左右,科研处长发现他们的网站无法登录,网上留言了我,当我进一步了解情况时,发现还有几个二级网站出现如下情况: 浏览器访问asp网站时,页面上显示请求的资源在使用中:有的ASP网站又可以正常访问,这就带来了一些困难,不知所措,到底发生了什么原因?如果在网上搜集一下,说一大堆原因,实际上一一测试,但无法解决. 此时此刻,心理非常紧张,又在抓紧时间进一步分析,如何解决此次网站运行故障. 通过以下设置,可

ASP.NET MVC的流程讲解

开始想这个标题的时候,很是忧郁到底叫什么标题会比较好哪,最后还是确定为讲解,虽然略显初级,但是很多概念,想通了还是比较有价值的.废话略过,开始! 1.MVC的基本开发流程   2.webform和MVC的选择   3.MVC的内部过程 1.MVC的开发流程 MVC的出现时微软在2009年左右开始提出的网站开发的新的发展方向,这个方面的开发官方解释是可以比较好的实现三层分离,而且分离之后,可以实现复用等相关好处,通常人们列举的例子是ui方面可以同时支持HTML网络或者WAP网络.但是其实个人的理解

基于IIS的ASP网站发布

学校的公网IP地址就是好,随便弄一个网页发布出去都可以用作外部访问,完全无需考虑端口映射或什么花生壳之类的东西.昨天在WIN 7 的IIS下搭建了一个ASP网站,内容是一个匿名的网络聊天室,之前只会.这里还是处于怕自己过后就忘了基本步骤的目的,同时也是为了分享,把大致的步骤贴出来. 1. IIS功能的打开 这个不消说,在控制面板--系统功能--打开IIS以及ASP功能.(这里需要具体打开的条目不少,具体可以搜索一下) 2. 控制面板---系统和安全---双击选择IIS管理器,进入以下界面 3.

(转载)ASP网站如何防止注入漏洞攻击

SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如 果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉.但是,SQL注入的手法相当灵活,在注入的时候会碰到很多意外的情况.能不能根据具体情 况进行分析,构造巧妙的SQL语句,从而成功获取想要的数据. 据统计,网站用ASP+Access或SQLServer的占70%以 上,PHP+MySQ占L20%,其他的不足10%.在本文,以SQL-SERVER+ASP例

ASP网站挂木马怎么办?

运行环境如下: 服务器操作系统:Win2003/2008 Web应用软件:IIS 6.0/7.0 运行问题:学院有几个Asp网站在访问的时候显示:An error occurred on the server when processing the URL. Please contact the system administrator.或者报其他的错识,或者是运行非常缓慢,并且会在网站的根目录下或是文件夹下多出一个名为"global.asa"文件,一般还是隐藏文件属性,要通过显示隐藏