部署web项目
1.在这里我们已经有了一个web项目文件,把项目部署到自己电脑上作为示例进行接下来的内容。(最好提前关闭防火墙和杀毒软件)
2.步骤:
(1)安装IIS相关环境并利用IIS服务器发布靶站源代码(注意应用程序池使用.net 4.0并开启.NET服务)
①程序和功能中添加web管理工具、万维网服务,web核心:打开控制面板–>程序与功能–>启用或关闭windows功能:(一定要全部打上对勾)
②右击电脑上的“计算机”图标,点击“管理”,计算机管理-服务里开启asp.net服务
③在iis里部署网站,注意应用程序池选.net 4.0,路径选择为网站项目文件==(项目文件不要放在c盘,c盘是系统盘,可能有权限影响)==并在.net 4.0程序池的高级设置里把32位应用程序设置为true。如果没有.net 4.0,在cmd中(管理员)运行命令"%WINDIR%\Microsoft.NET\Framework\v4.0.30319\aspnet_regiis.exe" -iru -enable
④启动网站,网站显示网址为本机ip
进入后台
一、网站后台绕过
1、猜测网站的后台管理地址或使用==御剑孤独后台扫描工具(根据域名扫描,如下图域名为:http://10.0.09)==暴力搜索进入后台登录界面。
2、尝试使用弱密码登录系统,观察登陆界面给出的反馈,例如账号密码:admin,admin
3、输入一些特殊字符,如‘’/±=等,点击登录,观察系统反馈。
4、根据登录界面给出的反馈构造永真的SQL语句绕过登录界面。
5、进入网站后台管理界面。
二、修改页面内容
1、在网站前台或后台中寻找能够提交信息的合适位置。
2、提交代码,使用另外的主机访问此网站,观察效果。
3、提交代码:
三、注意事项
1、后台网址避免使用常见名称,防止被轻易猜到
2、管理员账号避免使用默认账号如admin、administrator、root、sa等,管理员密码避免使用弱口令如admin、123456、qwerty等
3、构造符合语法规则的永真sql绕过登陆验证,利用单引号’闭合确保语法正确,然后构造1=1等永真判断
4、用户可以提交信息的地方往往存在风险
5、所有问题的根源在于软件开发过程中没有进行充分的特殊字符过滤
扫一扫
3773
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
