渗透学习-18- WEB 攻防-ASP 安全&MDB 下载植入&IIS 短文件名&写权限&解 析

最新推荐文章于 2024-05-30 22:30:23 发布
最新推荐文章于 2024-05-30 22:30:23 发布
阅读量287 收藏 1
点赞数 11
文章标签: 安全 web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_78897940/article/details/136908938
版权

知识点:

1、ASP 环境搭建组合

asp 最常用的网站搭配组合
windows + iis + asp + acess(sqlsever)

2、ASP-数据库下载&植入

access数据库一般后缀名 .mdb(有时候可下载) . asp 和 .asa

为社么有些.mdb可下载?iis配置那里没有设置用什么去解析mdb文件,就会直接被下载

而mdb文件在它网站目录下,怎么找?扫描得到或者尝试默认数据库配置路径
直接访问xxx.com/xxx/xx.mdb 下载mdb文件再打开查看

思路: 如果我们知道这个数据库的地址,可以尝试下载获取数据库文件,获取当前管理员账号密码信心
这是建立在啥都没有修改的情况下 最基本的,比较少见了

假如访问.mdb不能下载,那说明要么被设置了解析,亦或者数据库是 .asp/asa后缀的.如果是后者,那么访问数据库路径将会被asp执行,那么就想能否插入后门代码到数据库里,然后访问数据库.asp时这个后门岂不是就会被执行? 于是找到可以留言的地方, 将asp后门代码编码后提交,后门便存储在数据库里,然后访问数据库路径,xxx.com/xxx/xxx.asp, 这个后门将被执行。

ASP-中间件-IIS 短文件名探针-安全漏洞

找个脚本,可用来探测猜测网站目录、路径 比如 后台,数据库地址等等,只能探测前6位,剩下的自己去猜

ASP-中间件-IIS 文件上传解析-安全漏洞

WEB 安全攻防:

1、Web 源码
2、开发语言
3、中间件平台
4、数据库类型
4、第三方插件或软

wh00am
关注
  • 11
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
自动售货机MDB协议中文(六)MDB-RS232控制硬币器的流程和
05-11
通过MDB-RS232控制硬币器的流程和。文档需要通过密码阅读。测试过程中可以向威佛技术支持工程师获取阅读密码并确认。
渗透测试工具-御剑(后台扫描工具)
02-21
御剑工具汇总(注入连接后端工具) 不放心的话工具可以放到虚拟机里使用,可能会有报毒属正常情况 【渗透测试工具-御剑】主要用来信息收集,目录扫描的一款工具。 御剑后台扫描工具是为众多从事网络工作并担任网络安全管理职位的人制作的一款后台安全扫描工具,它能帮你实时监控后台文件的安全性,防御网站风险,为您网站的正常运作提供最大的保障。t00ls大牛的作品,很强大的字典,便查找用户后台登陆地址,同时也为程序开发人员增加了难度,尽量独特的后台目录结构。 功能介绍: 1.扫描线程自定义:用户可根据自身电脑的配置来设置调节扫描线程 2.集合DIR扫描 ASP ASPX PHP JSP MDB数据库 包含所有网站脚本路径扫描 3.默认探测200 (也就是扫描的网站真实存在的路径文件)
WEB攻防-ASP安全-MDB下载
weixin_45534587的博客
04-22 1050
Web站点提供文件下载功能时,如果没有对下载请求进行充分的验证和过滤,或者服务器配置不当,就可能产生文件下载漏洞。攻击者可以利用这个漏洞,通过修改请求参数或尝试猜测或遍历服务器上的文件路径,从而绕过正常的访问控制,下载到不应该被访问到的文件,包括数据库文件(如MDB文件)。打开后台目录192.168.10.133/Admin/Admin_Index.asp报错问题是常规配置错误,需要在属性-->主目录-->配置-->选项下勾选启动父路径。选择网站-->默认网站-->右键-->打开。
第十八天:WEB攻防-ASP安全&MDB下载植入&IIS文件名&权限&
m0_51322401的博客
01-06 647
找到之后为输入他的路径http://192.168.106.132/database/powereasy2006.mdb便可下载他的数据库文件。然后我们可以进入http://192.168.106.132/admin/Admin_Login.asp,也就是后台管理,便可操作他的数据库。当数据库文件是 mdb格式文件时,可以直接访问数据库文件,然后本地就会下载该数据库,使用数据库工具打开即可获得所有数据库信息。在后台文件中有一个这个数据,即为他的数据库文件。-asp程序的数据库下载植入
18Web攻防——ASP安全&MDB下载植入&IIS文件名&权限&
qq_55202378的博客
12-12 601
既然能访问且被asp,可以尝试入一句话木马(尽量编码)到数据库文件中,然后用webshell工具去连接一句话木马。),尝试可以下载数据库文件(mdb文件),获取当前管理员账户密码等信息。asp的网站访问不了,原因是网站不允许asp脚本运行。的目录,该目录下的任何文件都被IIS当作asp程序执行(特殊符号是。的文件,虽然该文件的真正后缀名是".jpg",但由于含有特殊符号。文件可以下载mdb文件在网站目录下(也就是说可能会被访问)。文件会被下载的原因是该文件没有被设置为asp
18天:WEB攻防-ASP安全&MDB下载植入&IIS文件名&权限&
oyh3088016923的博客
04-08 159
2003win系统常见漏洞又iis Asp ,仅在win2003中常见,使用虚拟机 测试漏洞,win2003iso镜像 点击控制面板,安装程序可以通过分查看得到数据库源码,然后在本地搭建,去查看默认配置MD5的位置,如果没有修改,就可以进行MD5默认下载 iis 漏洞和asp漏洞在市面上很少了,能碰到的漏洞概率也很低了 ...
小迪安全18WEB 攻防-ASP 安全&MDB 下载植入&IIS 文件名&权限&
weixin_73760178的博客
01-16 713
原因:数据库后缀为.asp文件,所以当我们留言时,数据会存储到数据库里,.asp是直接执行的,所以当我们植入一个木马向数据库时,数据库会以.asp形式将此木马直接执行。.mdb之所以是以下载的形式,是因为在配置文件中,没有对.mdb的文件进行配置,所导成的。通过文件名为a.asp,里面的1.jpg由1.asp组成,因为识别为.asp文件,所以会将1.jpg里的代码进行实现。此时看它的数据库文件,为.asp,所以当进行访问时,会直接以asp的形式进行执行。4.ASP-中间件-IIS 文件上传-安全漏洞。
day18 ASP安全&MDB下载植入&IIS文件名&权限&
wanjia01的博客
06-04 646
#知识点:1、ASP环境搭建组合2、ASP-数据库下载&植入3、IIS-文件&&权限WEB安全攻防:1、Web源码2、开发语言3、中间件平台4、数据库类型4、第三方插件或软件默认下载,知道数据库文件的路径,就可以直接下载(可以通过下载源码进行分)以aspCMS这种搭建的网站通过访问数据库所在的位置(这里默认搭建都是在data/data.asp),然后通过留言板的方式,将加密后的一句话木马,入数据库中,然后通过菜刀等更工具,连接即可。(因为他将数据库文件当成asp执行了).IIS的一个问题。因
【小迪安全2023】第11天:信息打点-红队工具篇&Fofa&Quake&Kunyu&Suize水泽&Ar灯塔;第18天:WEB攻防-ASP安全&MDB下载植入&IS文件名&权限&
人若无名,便可专心练剑
04-07 941
第11天:信息打点-红队工具篇&Fofa&Quake&Kunyu&Suize水泽&Ar灯塔;第18天:WEB攻防-ASP安全&MDB下载植入&IS文件名&权限&
MDB-Cashless-Test.rar_MDB-Cashless-Test_mdb-rs232_mdb测试工具_vendin
07-14
MDB协议接口售货机非现金支付测试工具,用于连接RS232-MDB适配器到自动售货机MDB接口,实现自助设备的移动支付。
mdb-vdr.rar_avr_avr mdb_mdb_modbus avr_modbus-rtu avr
09-22
主要用于 AVR MODBUS 底层程序 欢迎下载
linux系统安全及应用
最新发布
Alone8046的博客
05-30 243
一、新的服务器到手该如何部署:1.配置IP地址,网关,dns,内外网。3.磁盘分区:lvm及raid。二、应用:1.不需要或者不想登录的用户设置为nologin:usermod -s nologin +用户。锁文件:chattr -i /etc/passwd。提供了一种标准的身份认证的接口(对账号权限进行控制),可以允许管理员定制化配置各种认证方式和方法。(配置的时候一定要注意:有限放开原则,用什么给什么,不需要的不加)会话管理模块:管理用户的会话,记录会话信息,注销用户的会话,远程终端连接。
Linux防火墙(以iptables为例)
Tassel_YUE的博客
05-28 938
防火墙是一种网络安全设备,用于监视和控制网络数据流量。其主要功能是在不同网络之间建立一条阻隔,对进出的数据流量进行过滤和筛选,从而保护内部网络免受未经授权的访问和恶意攻击。防火墙通过规则集合控制网络流量的通过与阻止,这些规则可以根据网络策略和需求进行配置。不正确的配置可能导致无法访问特定服务或应用程序。
导线防碰撞警示灯:高压线路安全保障
dxzhkj888888的博客
05-30 245
同时,警示灯的反光材料也起到了至关重要的作用,无论是白天还是夜晚,都能将光线反射到最远的距离,让警示效果倍增。导线防碰撞警示灯也叫高压线太阳能警示灯、户外高压线路夜间红色闪光灯,以其独特的设计和卓越的性能,成为了电力安全领域的保障。在广袤的大地上,高压线路如同血脉般纵横交错,然而,在这看似平静的电力输送背后,却隐藏着不容忽视的安全隐患。而到了夜晚,警示灯便开始了它的使命。导线防碰撞警示灯的出现,使得那些驾驶超高车辆、操作超高施工机械的司机们,也在警示灯的提醒下,更加谨慎地行驶和操作,避免了可能发生的危险。
适合能源企业的文档安全外发系统应该是什么样的?
文件数据安全交换
05-29 299
飞驰云联是中国领先的数据安全传输决方案提供商,长期专注于安全可控、性能卓越的数据传输技术和决方案,公司产品和方案覆盖了跨网跨区域的数据安全交换、供应链数据安全传输、数据传输过程的防泄漏、FTP的增强和国产化替代、文件传输自动化和传输集成等各种数据传输场景。飞驰云联主要服务于集成电路半导体、先进制造、高科技、金融、政府机构等行业的中大型客户,现有客户超过500家,其中500强和上市企业150余家,覆盖终端用户超过40万,每年通过飞驰云联平台进行数据传输和保护的文件量达到4.4亿个。
网络学习(九)|深入Cookie与Session:高级应用及安全实践
weixin_44435110的博客
05-28 659
通过本以上,后端开发人员可以深入了Cookie和Session的高级应用、常见问题及其决方案,有助于设计和实现高效、安全的会话管理系统。
为了防止web中.mdb数据库文件非法下载,请对Web配置文件进行安全加固;
03-23
Web配置文件进行安全加固可以采取以下措施: 1. 禁止直接访问.mdb文件,可以通过IIS的配置文件或者.htaccess文件来实现。 2. 将.mdb文件移动到非Web根目录下,这样即使有人通过URL访问也无法下载。 3. 使用加密算法对.mdb文件进行加密,这样即使被下载也无法直接读取。 4. 对Web服务器进行安全加固,包括更新操作系统、Web服务器软件和数据库软件的补丁,关闭不必要的服务和端口,设置防火墙等。 5. 对Web应用程序进行安全加固,包括过滤用户输入,防止SQL注入和XSS攻击,使用HTTPS协议等。 6. 定期备份数据,以防止数据丢失或被损坏。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值