iverson5

asp网站渗透的经验讲解

1.注入攻击

 

2.未验证的上传页面

经典上传截取拿shell(修改当前页面的参数,达到伪造恶意攻击)

经典上传抓包拿shell(抓数据包,利用工具去自动判断验证方式,修改并上传)

 

3.万能密码与登陆框注入

    'or'='or' 真条件绕过不安全的过滤机制

    登陆框输入注入语句查询利用(不安全的过滤机制)

 

4.IIS6解析漏洞////或者其他解析漏洞

     X.asp;.jpg  x.asp;x.jpg(文件格式形式解析)

     X.asp/x.jpg(文件夹形式解析)


 5.文件下载漏洞


eweb与fck漏洞资料

     修改上传类型参数,进行上传后门格式

     结合解析漏洞加以利用

 

0xA0后台功能利用

0xA1 配置文件插马

0xA2 数据库备份

0xA3 后台中的上传页面

0xA4目录遍历与任意文件下载

0xA5 利用SQL执行功能导出SHELL

 

留言板攻击与非法注册

     结合xss攻击盗取cookie,结合CRSF攻击劫持管理浏览器

     得到注册用户,可以伪装cookie,或者直接上传文件验证上传漏洞

 

ACCESS跨库查询测试站点

     基于同服务器上的不同站点的跨库,利用到sql命令去得到一些信息

评论

iverson5

© iverson5 | Powered by LOFTER