web渗透(asp数字型注入模拟实战)

本文介绍了作者进行ASP数字型注入的模拟实战过程,从寻找无防注入网站源码开始,通过尝试不同的SQL语句来判断注入点、猜表段和字段,最终目标是获取管理员账户密码。在实践中,作者发现了一些加密或转换机制,并意识到现代网站的防注入措施已显著加强。此实战体验揭示了攻防技术的不断演进和学习新技术的重要性。
摘要由CSDN通过智能技术生成

昨晚花了一整晚的时间找一套没有防注入的网站源码,太难找了,今天六点多就起床,终于找到了。(原谅我笨)

打开虚拟机→打开asp小旋风→将网站程序放到asp小旋风下的wwwroot目录,打开网址http://127.0.0.1/,OK,能运行。

梳理一下注入的流程:查注入点→判断是否能注入→猜表段→猜字段→爆管理员账户密码

OK,往下走。


打开本地搭的站点→随便点看看哪里能注入

只要asp?id=××这种类型的都可以试试,id是一个变量,带动数据库查询。


找到注入点:
http://127.0.0.1/NewsInfo.asp?id=65

判断是否能注入,这里是数字型,其他类型以后再说:

http://127.0.0.1/NewsInfo.asp?id=65 and 1 = 1 //返回正常页面


http://127.0.0.1/NewsInfo.asp?id

  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值