- 博客(4)
- 收藏
- 关注
RSS订阅原创 动网8.2版本的注入漏洞的利用
【实验原理】 动网8.2在用户登录时,过滤不严,可以导致注入,提升权限。漏洞存在源程序的login.asp文件。【实验步骤】 一、正常注册登录 1.1访问地址:http://192.168.1.3:8010/。 1.2 首先我们注册一个用户:san,密码:123456。 二、漏洞测试与利用 2.1 然后退出san用户,打开登录页面。 2.2使用以下语句登录:san’ ...
2018-08-07 09:11:44
1047
原创 SQL注入原理-手工注入access数据库
SQL注入原理-手工注入access数据库【实验原理】 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。首先,在以【.asp?id=32(数字任意)】结尾的链接依次添加语句【’】、【and 1=1】和【and1=2】,来判断网站是否存在注入点。 然后,添加语句【and exists(select * fr...
2018-08-06 11:28:37
639
原创 SQL注入原理——万能密码注入
【万能密码】的原理 用户进行用户名和密码验证时,网站需要查询数据库。查询数据库就是执行SQL语句。针对此BBS论坛,当用户登录时,后台执行的数据库查询操作(SQL语句)是【Selectuser id,user type,email From users Where user id=’用户名’ And password=’密码’】 由于网站后台在进行数据库查询的时候没有对单引号进行过滤...
2018-08-06 10:59:19
4845
转载 AWVS扫描器扫描web漏洞操作
一,AWVS的基础用法 1.1打开AWVS,在工具栏中New Scan按钮 1.2输入站点域名或者IP 1.3点击下一步,软件自动识别目标站点信息,也可以手动修改 1.4点击下一步,进入Crawling默认即可 1.5点击下一步,选择扫描模板,一般选择Default 1.6点击下一步,如果网站需要登录,就在此处添加登录信息 1.7点击下一步,再次进行信息确认,...
2018-08-06 10:17:48
4308
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人