您当前位置:主页 > 222628黄大仙三码中特 >

222628黄大仙三码中特Class teacher

传奇 封包 最新的技术

2019-10-06  admin  阅读:

 

 

  可选中1个或多个下面的关键词,搜索相关资料。也可直接点“搜索资料”搜索整个问题。

  展开全部小榕实验室出炉了一个注入组合,wed和wis,WED (Web Entry Detector),针对存在SQL Injection的网站对管理帐号进行扫描。WIS (Web Injection Scanner),自动对整个网站进行SQL Injection 脆弱性扫描,并且能够扫描后台登陆界面。众所周知,小榕实验室的东西一向是以“功能强大的软件,傻瓜化的使用”而出名。这两款也很容易上手,能够让初学的菜鸟毫不费力得到最想要得东西。

  为了方便说明,我启用了虚拟机的iis服务服务器的ip为192.168.0.2,文件夹名为dg的是一个存在注入漏洞的网站程序。站点目录dg下,还有一个动网论坛,模仿某站。我最后会根据站点的特性最后拿到webshell。(小提示,对初学者来说,也许不好找练习的机器,如果装了虚拟机,不但可以根据需要进行配置,增加自己对服务器的理解,而且可以随时观察被攻击机器的反映,不必担心对方桌面上已经出了警告,自己却仍然乐不可支的翻着硬盘···)

  站点访问的地址为论坛访问地址为(数据库是我随便拿了一个站点的战果,硬盘大,所以喜欢收藏战果以备下次使用)。

  WIS 和 wed都是在msdos下使用的程序,先用wis扫描注入点,看看有没有注入漏洞,扫完注入点后,再用他扫网站的后台,最后得到有用信息,用wed注入破解管理员密码。也可以根据实际情况,直接使用wis扫描后台。从小榕实验室下载这两个文件解压后,wis除了自己程序外,还有一个文件admin.txt,打开就知道,里面是个字典形式的网站后台相对地址。很明显他是在扫描时自动加入后缀.asp的,如果你想自己加入内容,比如logon.asp文件(这个文件也很重要,却没有被写进去),就直接在里面另起一行,输入login即可,他会自动加入后缀。

  wed解压后,有四个文件,除了自己,TableName.txt是管理员表名,UserField.txt是用户名的列名,PassField.txt是用户密码的列名。(小提示,也许你要注入的表名或列名没有在里面,天机神算心水论坛他们“非常”或“极其”担心无协议脱欧将带来的,你可以去互连网搜索站点使用程序的名字,然后下载这个程序,打开数据库查看。比如一些同学录的列名里面就没有。根据需要和经验,壮大你的字典。

  运行wis界面,示例用法中,也写的很明白,像我的虚拟主机的站点,要输入:wis,这种用法就是自动在网站目录下寻找存在注入漏洞的页面注意!网站后面一定要有/符号!如果你输入:wis,这样少了/符号,就不会正确运行程序了。enter后,开始运行程序,/dg/index.asp?classid=1就是运行结果,合起来,存在注入漏洞的页面就是:得到了漏洞页面,就可以破管理员密码,但是不知道管理员管理页面,一样没用。所以还要扫描管理后台。用法如下:wis,就是先输入上一个命令,继续加上/a,如图运行成功找到了后台地址:,服务器返回信息200 OK,说明存在这个页面)。

  使用wed注入这个页面破解管理员密码,用法:wed运行的结果写的很明显管理员帐号admin,密码也是admin。(小提示,有时候运行会破解的密码出现错误,可能是你的网速反映问题,试者再运行一次。一定要等到username is: *** password is: ***的消息出现,才是运行结果。中间会停顿一会儿,是正在猜解,可不要在这时候就ctrl+c了)

  得到了密码,登陆后台从后台界面看的出,有两点可以利用一个是上传文件,一个是备份数据,但是经我测试,这个上传文件不可用,总是运行错误。所以我转到了动网的那个上传头像里。首先把你做好的asp木马,后缀名改为.gif,然后上传,得到地址uploadface/01.gif。

  由于我们得不到论坛后台的权限,所以回到网站的后台,“备份数据库”,上传的图片,相对网站后台的地址是../bbs/uploadface/01.gif,备份的目录你随意,它说了如果目录不存在,会自动创建,我输入的结果访问地址是:就这样得到了webshell,攻击完成。

  这两个小工具给我的感觉小巧,易用,容易上手,运行的速度很快。缺点是每次要在msdos下运行,不是很方便,菜鸟都喜欢图形界面的工具,如果改为图型界面,点几下鼠标就可完成操作,效果一定更佳!两个工具只能用于asp站点的注入,不能注入和扫描php站点,因为php+mysql和asp的注入语句构造都不一样,关于php的,请看的文章。国内站点大多都以asp为主,能够通过注入得到权限的站点不在少数,请大家不要一味的破坏,如果你得到了权限,完全可以通知管理员,也算是为国内的站点安全做出贡献。

财神报| 曾半仙| 玉观音心水论坛| 报码室| 蓝月亮心水主论坛| 开奖记录| 藏宝阁| 特码开奖结果| 顶尖高手| 香港金吊桶| 满堂红| 78345com黄大仙| 静心阁论坛| 香港特码王| 金多宝|