入侵ASP.net网站的经验附利用代码_安全教程-查字典教程网
入侵ASP.net网站的经验附利用代码
入侵ASP.net网站的经验附利用代码
发布时间:2016-12-26 来源:查字典编辑
摘要:1、对一般遇到.net的网站时通常会注册个用户第一选择利用上传判断的漏洞加图片头GIF89A顺利饶过2、第二种就是注入了,在?id=xx后加...

1、

对一般遇到.net的网站时

通常会注册个用户

第一选择利用上传判断的漏洞加图片头GIF89A顺利饶过

2、

第二种就是注入了,在?id=xx后加单引号"'"

一般情况下用NBSI啊D来SCAN都可以发现BUG页面

而且国内大多.net都是使用MSSQL数据库

发现注入点也可以从login下手其实这个方法目前的成功率在75%

3、

不过遇到搜索型的,和没错误信息回显的时候在这里就卡住了

大家可以看看网上一篇搜索型注入的文章运气好,数据库和WEB在一起

直接在搜索里写备份LOG语句如果输入框限制字符可以本地做个POST表单

也可以用WsockExpert抓包对search.aspx?后的值分析后加注入语句

获取路径就更好办了只要web.config里

代码如下:

<>

<configuration>

<system.web>

<customErrorsmode="On"/>'这里为off就失败

</system.web>

</configuration>

那么只需要在任意一个文件名前

如allyesno.aspx改为~allyesno.aspx顺利获得WEB绝对路径

4、

运气好,发现登陆后台:

比如:http://allyesno.cnblogs.com/admin/login.aspx

如果输入密码错误返回到http://allyesno.cnblogs.com/admin/error.aspx

如果输入http://allyesno.cnblogs.com/admin%5Cindex.aspx说不定可以饶过验证。

5、

后台饶过方法:

'or''='

'or''='

或者

'or'='or'

'or'='or'

相关阅读
推荐文章
猜你喜欢
附近的人在看
推荐阅读
拓展阅读
  • 大家都在看
  • 小编推荐
  • 猜你喜欢
  • 最新安全教程学习
    热门安全教程学习
    实用技巧子分类