1、对一般遇到.net的网站时
通常会注册个用户
第一选择利用上传判断的漏洞 加图片头GIF89A 顺利饶过
2、第二种就是注入了, 在?id=xx后加单引号 " ' "
一般情况下 用NBSI 啊D来SCAN 都可以发现BUG页面
而且国内大多.net都是使用MSSQL数据库
发现注入点也可以从login下手 其实这个方法目前的成功率在75%
3、不过遇到搜索型的,和没错误信息回显的时候 在这里就卡住了
大家可以看看网上一篇 搜索型注入的文章 运气好,数据库和WEB在一起
直接在搜索里写备份LOG语句 如果输入框限制字符 可以本地做个POST表单
也可以用WsockExpert抓包 对search.aspx?后的值分析后加注入语句
获取路径就更好办了 只要web.config里
代码如下:
<!-- Web.Config 配置文件 -->
<configuration>
<system.web>
<customErrors mode="On"/> '这里为off就失败
</system.web>
</configuration>
那么只需要在任意一个文件名前
如allyesno.aspx 改为~allyesno.aspx 顺利获得WEB绝对路径
4、运气好,发现登陆后台:
比如:http://allyesno.cnblogs.com/admin/login.aspx
如果输入密码错误返回到http://allyesno.cnblogs.com/admin/error.aspx
如果输入http://allyesno.cnblogs.com/admin%5Cindex.aspx说不定可以饶过验证。
5、后台饶过方法:
'or''='
'or''='
或者
'or'='or'
'or'='or'
本篇文章来源于 黑客时空(hacksky.net)-国内最好的网络安全联盟 原文链接:http://www.hacksky.net/news/HTML/5667.html
分享到:
相关推荐
爱好入侵的可以用下面的方法,做网站的朋友就需要了解下面的asp.net的利用代码,最好来测试下
源码名称:网软分类信息系统asp.net正式版下载分类信息网站网页模板 源码版本:V2020 建议分类:源码下载/asp.net源码/分类信息 联系EMAIL:38306293@qq.com 软件网站:http://www.wrzc.net 演示网站:...
信息发布网站系统,信息发布网站管理系统,asp.net信息发布系统,企业产品信息发布系统,分类信息发布系统,网络信息发布系统,生活分类信息网站发布系统仿快点8分类信息网模板下载,供求信息发布网站,信息发布网站源码,...
与其它WEB服务器相比,Jexus不但具有跨平台ASP.NET服务器这样的标志性特征,同时还拥有内核级的安全监控、入侵检测、URL重写、无文件路由等一系列重要功能和专有特性。 一、使用Jexus5.8.1独立版 网址...
在日常使用ASP.NET Core的开发或学习中,如果有需要使用链路跟踪系统,大多数情况下会优先选择SkyAPM。我们之前也说过SkyAPM设计确实比较优秀,巧妙的利用DiagnosticSource诊断跟踪日志,可以做到对项目无入侵方式...
信息发布网站系统,信息发布网站管理系统,asp.net信息发布系统,企业产品信息发布系统,分类信息发布系统,网络信息发布系统,生活分类信息网站发布系统仿快点8分类信息网模板下载,供求信息发布网站,信息发布网站源码,...
Asp.net 总结一下网站注入与防范的方法 Asp.net 总结一下网站注入与防范的方法 最近看到很多人的网站都被注入js,被iframe之类的。非常多。 本人曾接手过一个比较大的网站,被人家入侵了,要我收拾残局。。
jexus是一款Linux平台上的高性能WEB服务器和负载均衡网关,以支持ASP.NET、ASP.NET CORE、PHP为特色,同时具备反向代理、入侵检测等重要功能。可以这样说,Jexus是.NET、.NET CORE跨平台的最优秀的宿主服务器,如果...
另一方面,被入侵者利用,从而达到控制网站服务器的目的。这些网页脚本常称为webshell。 脚本木马,目前比较流行的asp或php木马,也有基于.NET的脚本木马。 http://www.shanxiyiyou.com/admin/ad.asp admin
信息发布网站系统,信息发布网站管理系统,asp.net信息发布系统,企业产品信息发布系统,分类信息发布系统,网络信息发布系统,生活分类信息网站发布系统仿快点8分类信息网模板下载,供求信息发布网站,信息发布网站源码,...
1 引言 Web应用程序是当今多数企业应用的前沿阵地。Web应用程序在一个复杂的混合性架构中可以发挥多种...许多单位试图运用后生产(post-production)解决方案来提供安全控制,如Web应用防火墙和入侵防御系统等。
许多开发人员使用POST主要有2个原因:明确了数据不能被缓存,或者是避免JSON攻击(JSON返回数组的时候可以被入侵)。 缓存解释 jQuery全局对象里的ajax方法提供了一些options来支持缓存和Conditional GETs功能。 $...
本CMS名为CITCMS(畅腾内容管理系统),采用Asp.net MVC进行开发,本系统建立在高性能、高扩展性、高集成性的微软解决方案之上,并具有如下优点: 高度的可扩展性 高度的可维护性 快速的运行与显示 无入侵式的CSS 无...
本CMS名为CITCMS(畅腾内容管理系统),采用Asp.net MVC进行开发,本系统建立在高性能、高扩展性、高集成性的微软解决方案之上,并具有如下优点: 高度的可扩展性 高度的可维护性 快速的运行与显示 无入侵式的CSS ...
入侵工具包 该工具包集合 大马 小马 3389 多种功能于一体
可选支持asp,php,asp.net等脚本,各站点独立权限。 2.Mysql数据库创建、导入、导出、修复、改密码等 3.Mssql数据库创建、导入、备份、修复所有者、改密码、清空日志、清空数据库等… 4.备份IIS、还原,重装或更换...
可选支持asp,php,asp.net等脚本,各站点独立权限。 2.Mysql数据库创建、导入、导出、修复、改密码等 3.Mssql数据库创建、导入、备份、修复所有者、改密码、清空日志、清空数据库等… 4.备份IIS、还原,重装或更换了...
一般现今ASP木马常通过以下四点来操作服务器,所以我们只要将一下四处设置好就能从一 前使用IIS服务器的站长很多,特别是对于ASP网站来说,防止ASP木马成了网站安全最关键的内容。 一般现今ASP木马常通过以下四点来...
高度的可扩展性 高度的可维护性 快速的运行与显示 无入侵式的CSS 无入侵式的JavaScript脚本 更加有利于搜索引擎的收录与页面内容的搜索 用户通过CITCMS的管理后台,做些简单的...用户管理采用的是Asp.net Membership
3.网站管理功能: 修改默认主页,自定义错误页面,修改ASP.NET版本 4.查看IIS上绑定的所有域名,获取IIS中的网站,重启IIS 5.添加数据库(SQL Server,MySQL) 限制大小, 修改数据库,删除数据库 6.一键对服务器进行安全...