第18天:WEB攻防-ASP安全&MDB下载植入&IIS短文件名&写权限&解析

已于 2024-03-20 09:03:05 修改
阅读量161 收藏
点赞数
文章标签: 功能测试
于 2022-04-08 19:38:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oyh3088016923/article/details/124046282
版权

2003win系统常见漏洞又iis Asp ,仅在win2003中常见,使用虚拟机

测试漏洞,win2003iso镜像

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAb3loMzA4ODAxNjkyMw==,size_14,color_FFFFFF,t_70,g_se,x_16

点击控制面板,安装程序watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAb3loMzA4ODAxNjkyMw==,size_18,color_FFFFFF,t_70,g_se,x_16可以通过分析查看得到数据库源码,然后在本地搭建,去查看默认配置MD5的位置,如果没有修改,就可以进行MD5默认下载

iis 漏洞和asp漏洞在市面上很少了,能碰到的漏洞概率也很低了

 

 

李艺廉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mdbtools:MDB工具-* nix上的Access数据库
05-12
欢迎来到令人激动的MDB工具世界! MDB工具是一组程序,可帮助您从各种设置的Microsoft Access文件中提取数据。 有关最新版本的信息,请参阅文件。组件MDB工具的主要部分包括:的libmdb 允许以编程方式访问MDB文件的...
resolve-demo:解析MDB文件和Excel
03-27
解析mdb和excel
WEB攻防-asp安全
worryanswer的博客
08-11 746
web攻防-ASP安全
网安之web攻防第十八
B_l_a_nk的博客
03-30 296
1、ASP环境搭建组合 2、ASP-数据库下载_x0005_&植入 3、IIS-文件&解析&权限
day18 ASP安全&MDB下载植入&IIS文件名&权限&解析
wanjia01的博客
06-04 649
#知识点:1、ASP环境搭建组合2、ASP-数据库下载&植入3、IIS-文件&解析&权限WEB安全攻防:1、Web源码2、开发语言3、中间件平台4、数据库类型4、第三方插件或软件默认下载,知道数据库文件的路径,就可以直接下载(可以通过下载源码进行分析)以aspCMS这种搭建的网站通过访问数据库所在的位置(这里默认搭建都是在data/data.asp),然后通过留言板的方式,将加密后的一句话木马,入数据库中,然后通过菜刀等更工具,连接即可。(因为他将数据库文件当成asp执行了).IIS的一个解析问题。因
小迪安全18WEB 攻防-ASP 安全&MDB 下载植入&IIS 文件名&权限&解析
weixin_73760178的博客
01-16 718
原因:数据库后缀为.asp文件,所以当我们留言时,数据会存储到数据库里,.asp是直接执行的,所以当我们植入一个木马向数据库时,数据库会以.asp形式将此木马直接执行。.mdb之所以是以下载的形式,是因为在配置文件中,没有对.mdb的文件进行配置,所导成的。通过文件名为a.asp,里面的1.jpg由1.asp组成,因为识别为.asp文件,所以会将1.jpg里的代码进行实现。此时看它的数据库文件,为.asp,所以当进行访问时,会直接以asp的形式进行执行。4.ASP-中间件-IIS 文件上传解析-安全漏洞。
第十八WEB攻防-ASP安全&MDB下载植入&IIS文件名&权限&解析
m0_51322401的博客
01-06 652
找到之后为输入他的路径http://192.168.106.132/database/powereasy2006.mdb便可下载他的数据库文件。然后我们可以进入http://192.168.106.132/admin/Admin_Login.asp,也就是后台管理,便可操作他的数据库。当数据库文件是 mdb格式文件时,可以直接访问数据库文件,然后本地就会下载该数据库,使用数据库工具打开即可获得所有数据库信息。在后台文件中有一个这个数据,即为他的数据库文件。-asp程序的数据库下载植入
18Web攻防——ASP安全&MDB下载植入&IIS文件名&权限&解析
qq_55202378的博客
12-12 612
既然能访问且被asp解析,可以尝试入一句话木马(尽量编码)到数据库文件中,然后用webshell工具去连接一句话木马。),尝试可以下载数据库文件(mdb文件),获取当前管理员账户密码等信息。asp的网站访问不了,原因是网站不允许asp脚本运行。的目录,该目录下的任何文件都被IIS当作asp程序执行(特殊符号是。的文件,虽然该文件的真正后缀名是".jpg",但由于含有特殊符号。文件可以下载mdb文件在网站目录下(也就是说可能会被访问)。文件会被下载的原因是该文件没有被设置为asp解析
【小迪安全2023】第11:信息打点-红队工具篇&Fofa&Quake&Kunyu&Suize水泽&Ar灯塔;第18:WEB攻防-ASP安全&MDB下载植入&IS文件名&权限&解析
人若无名,便可专心练剑
04-07 950
第11:信息打点-红队工具篇&Fofa&Quake&Kunyu&Suize水泽&Ar灯塔;第18:WEB攻防-ASP安全&MDB下载植入&IS文件名&权限&解析
渗透学习-18- WEB 攻防-ASP 安全&MDB 下载植入&IIS 文件名&权限&解 析
2301_78897940的博客
03-21 292
假如访问.mdb不能下载,那说明要么被设置了解析,亦或者数据库是 .asp/asa后缀的.如果是后者,那么访问数据库路径将会被asp执行,那么就想能否插入后门代码到数据库里,然后访问数据库.asp时这个后门岂不是就会被执行?于是找到可以留言的地方, 将asp后门代码编码后提交,后门便存储在数据库里,然后访问数据库路径,xxx.com/xxx/xxx.asp, 这个后门将被执行。找个脚本,可用来探测猜测网站目录、路径 比如 后台,数据库地址等等,只能探测前6位,剩下的自己去猜。为社么有些.mdb下载
mdb-sqlite.NET:mdb-sqlite.NET
07-07
mdb-sqlite.NET mdb-sqlite.NET 最初基于 [mdb-sqlite] 项目( ),由 Landon Fuller( )创建。 我做了一些修改并将其翻译成 .NET C# 版本。 要使用这个工具,你需要通过 NuGet 安装 [System.Data.SQLite] 包( )...
MDB-Cashless-Test.rar_MDB-Cashless-Test_mdb-rs232_mdb测试工具_vendin
07-14
MDB协议接口售货机非现金支付测试工具,用于连接RS232-MDB适配器到自动售货机MDB接口,实现自助设备的移动支付。
自动售货机MDB协议中文解析(六)MDB-RS232控制硬币器的流程和解析
05-11
通过MDB-RS232控制硬币器的流程和解析。文档需要通过密码阅读。测试过程中可以向威佛技术支持工程师获取阅读密码并确认。
软件功能测试内容简析,第三方软件测试机构进行功能测试的好处
卓码测评
06-03 255
软件功能测试是指对软件产品的各项功能进行验证和确认的过程。它是软件开发过程中非常重要的一环,通过对软件的功能进行全面测试,可以确保软件在交付给用户之前达到预期的质量要求。
软件功能测试的类型和流程分享
卓码测评
05-28 550
在现代社会,软件已经成为人们生活中不可或缺的一部分,而在软件的开发过程中,功能测试是不可或缺的环节。软件功能测试指的是对软件系统的功能进行检查和验证,以确保软件在各种情况下能够正常运行,并且能够按照用户需求正确执行相关的功能操作。
基于EasyX的贪吃蛇小游戏 - C语言
06-05
基于EasyX的贪吃蛇小游戏 - C语言
Energy Core ECP5705-V01.pdf
06-05
Energy Core ECP5705-V01.pdf
matlabGUI学生成绩管理系统pdf
最新发布
06-05
建立基于图形用户界面GUI的学生成绩管理系统,该系统能够实现学生成绩信息的增加、删除、查询(查询某门课所有学生的成绩并显示排名,查询某个学生的各科成绩并显示排名)、课程成绩统计最高分、最低分、平均分、方差、并显示相应的排名;绘制柱状图、条形图、饼状图、正太分布曲线等功能。 通过本实验使学生掌握图形用户界面GUI的操作和设计流程,并通过编回调函数巩固前期的知识。
为了防止web中.mdb数据库文件非法下载,请对Web配置文件进行安全加固;
03-23
Web配置文件进行安全加固可以采取以下措施: 1. 禁止直接访问.mdb文件,可以通过IIS的配置文件或者.htaccess文件来实现。 2. 将.mdb文件移动到非Web根目录下,这样即使有人通过URL访问也无法下载。 3. 使用加密...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值