简单记录一次拿网站后台的过程

于 2023-03-10 17:09:59 发布
阅读量477 收藏 6
点赞数 1
文章标签: web安全 网络安全 密码学
kk
本文链接:https://blog.csdn.net/qq_37334874/article/details/129444835
版权

 本文章适用人群:网络安全爱好者,网络安全小白,大神请略过

目标网站:https://www.******.com (因网站正常运行中,不便提供真实的域名)

温馨提示:如新手苦于没有目标站点练手,可通过谷歌、百度等浏览器搜索“关键字”或使用“傀儡”、“椰树”等注入点批量检测工具,下面以谷歌为例。

第一步:使用谷歌搜索关键字(见图1),下图中的URL可能存在注入,需进行手工测试。

(图1)

第二步:手动测试是否存在注入点。在图1的URL最后面输入 and 1=1(正常) ,and 1=2(报错),证明存在数字型注入,测试and 1=1(见图2),测试and 1=2(见图3)。

 (图2)

最低0.47元/天 解锁文章
qq_37334874
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web渗/透/攻/击实战(1)—成功渗/透台湾某净化设备公司官网
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
01-08 1411
写在前面 作为一个防御型白帽黑客​ 你一定要知道黑客的进攻套路 才能有相应的防御措施 声明:只做测试,发现对方的漏洞,并不进行破坏性操作 1、 网站分析 地址:http://www.xxx.com.tw/ 这是一家中国台湾地区的网站,看着满屏的繁体字,就不是很舒服 网站首页包括:关于我们、资料下载、联络方式等等。 这些对我们进行sql注入用处并不大 我们需要的是可以进行参数传入的页面,这样我们就可以在参数里做文章 找一下 有没有新闻列表相关的页面 页...
新手五步拿下网站后台.
weixin_34253126的博客
04-12 3373
新手五步拿下网站后台. 我们需要用到的工具:挖掘机1.1 辅臣数据浏览器1.0 第一步:首先打开挖掘机 选择“添加后缀”加入一个新的后缀“/database/userdata.mdb”并勾选,其他后缀全都不要勾关键词填“inurl:xxlr1.asp?ID=”不包含括号! 第二步:设置好以后 开始检测ing.............. 第三步:5分钟...
网站弱口令拿后台webshell
sineblog的专栏
04-06 1151
我们刚才也发现了 DB admit敏感目录当中有一个test DB的PHP这样一个页面,并且我们可以登录,但是登录是需要密码的,那我们这时候就可以使用对应的弱口令来登录我们在系统当中,弱口令可以分为字母型和数字型,字母型大多数人是使用admin作为登录的密码和用户名,而数字型大多是使用123456作为对应的密码。 下面我们来尝试一下admin进行登录,我们会发现这时候轻松的来进入到该系统的后台。我们在进入系统的后台之后,我们要查找可以写webshell,之后利用该点,来写入咱们想要的这个 web.
百度站长后台网站蜘蛛抓取时间很长初步优化 Baiduspider每次抓取耗时是否有影响
这么多柠檬c
09-02 5553
我们在后台看到这样的抓取耗时: 平均耗时1秒到2.5秒左右,只能算是一般了。 如果能降低耗时那是最好不过了,我们使用浏览器F12进行检查! 我们使用浏览器检测为如下结果: 传输大小24k 原始大小85k 耗时700ms+ 我们使用HTML压缩清理掉注释空格等等占用大小的字符,然后启用gzip进行压缩。 百度官方介绍: 工程师答:1秒是最好,最多4至5秒也可以接受,如果时间再长...
YYDS! 如何拿下网站?黑客最爱用的三个神器!
MachinegunJoe777的博客
08-09 631
前言: 网络渗透中,网站一直是黑客们重点攻击的目标。面对网站,攻击者经常会想找到网站后台,登录上去,从而进一步获得网站服务器控制权。 所以,如何获得网站后台登录地址,就是非常重要的第一步。 爬虫分析 爬虫分析的原理,是通过分析网站页面的HTML源代码,从里面不断爬取链接,分析潜在的后台登录地址。一般来说,后台登录页面的地址中,通常会出现login、admin、user等字样。 字典枚举 很多时候,通过爬虫难以获取到后台登录地址,因为有可能存在没有任何一个页面里面包含登录页面的链接的情况。这个时候,咱们还
拿到后台这么容易(菜鸟版)
肖爱
04-20 1004
拿到网站后台 适用于:  网站入侵爱好者正文:1.在百度中搜索     Power System Of Article Management Ver 3.0 Build 20030628  随便点开一个//这是3.0的论坛也可以用别的方法搜,版本不错就好2.然后在地址栏中的*.asp删了复制上     database/yiuwekdsodksldfslwifds.mdb       点回
bicycle_project_管理系统_后台管理系统_一套简易自行车租赁系统源码_
10-02
【标题】"bicycle_project_管理系统_后台管理系统_一套简易自行车租赁系统源码" 提供的是一个用于自行车租赁业务的后台管理系统源代码。这个系统涵盖了自行车租赁管理中的多个关键功能,如租赁、维修以及会员办卡等...
一次课一软件危机与软件工程ppt课件.ppt
11-15
5. **按使用频度**:一次性使用、频繁使用。 6. **按失效影响**:高可靠性、一般可靠性软件。 【软件发展历史】 软件经历了从程序设计阶段到程序系统阶段,再到软件工程阶段的发展。每个阶段都有其代表性方法,如...
拿来即用springboot+bootstrap整合若依的后台管理系统
08-10
在当今的IT行业中,高效、便捷的后台管理系统已经成为企业信息化建设的关键一环。若依(RuoYi)作为一个开源的后台管理框架,凭借其简洁的界面、强大的功能以及易用性,受到了众多开发者的喜爱。本篇文章将深入探讨...
记录一次按下按钮的时间
01-17
"记录一次按下按钮的时间"这个项目,就是一种常见的用户交互实现,它涉及到事件处理、时间戳记录以及文件操作等多个知识点。以下是对这些技术点的详细解释: 1. **事件处理**:在窗口上创建一个按钮,这个过程...
简单的方法让你的后台登录更加安全(php中加session验证)
10-27
在构建网站后台系统时,确保后台登录的安全至关重要。防止未授权访问是保护网站数据和功能免受恶意攻击的关键措施。本文将介绍一种简单但有效的方法,通过在PHP中添加session验证来增强后台登录的安全性。 首先,...
常见CMS拿后台
daqiangdetianxia的博客
10-10 611
常见CMS拿后台 先查询互联网,看到互联网上面有的话直接进行利用,如果没有的话然后自己搭建环境,进行测试。 cms拿后台 数据库备份拿shell 双文件上传 配置插马 修改文件上传类型 南方良精后台 sourthidceditor/admin.style.asp 科讯拿shell(建议IE浏览器) 一、 不利用解析漏洞 ​ 内容----->图片添加----> ​ (如果删除了图片添加按钮,可以去源代码中查找,在其他的按钮中替换开来) ​ 修改文件么默认上传类型为asasp
寻找网站后台的几种常见的方法
qq_63651088的博客
10-25 1万+
(注:本教程仅供学习交流使用,不可用于一切未授权的网络攻击和违法行为!) 当我们进入一个网站时,如何对其后台进行查找、从而进一步渗透?今天给大家介绍几种常见的方法: 查看网站图片中的属性 我们可以随机点击一些图片的属性,看看它的路径能否加以利用 查看网站底部信息 可以翻到网站底部查看是否有“管理”之类的入口,一般学校的官网和zf网站会有此类入口 rebots文件 就是网站的防爬目录。可以在网址后加上/rebots.txt,其中可能隐藏后台目录。说不定管理员不想被搜索引擎找到,把网站后台地址放置
渗透测试之后台查找,如何查找网站后台
大河之犬的博客
06-26 5076
如果有网站后台入口,我们可以直接登登陆进去。当我们进入到一个网站主页时,想进行对其后台的查找时,我们就可以先随意查看和点击当前网站的页面,浏览下网站的大体页面结构,说不定往往会有很多意想不到的收获哟。当我们尝试不能直接浏览网页找到后台时,我们可以尝试下故意请求不存在的页面,让网页故意显示报错信息,查看网站真实路径,说不定借此作为突破口,可以得到我们想要的后台地址信息。当我们对浏览当前页面后无法直接找到后台地址时,我们应针对它页面后台地址下手,对网站后台地址进行一些猜解和信息收集,进一步去寻找网站后台地址。
如何得到一个网站后台地址
巫山云的专栏
06-05 2万+
一、猜测常见的网站后台 1、http://你的网址/login.asp  2、http://你的网址/admin/login.asp  3、http://你的网址/admin/ /admini/ 二、查看该网站的robots.txt 如:网站为:http://www.mmfi.net/ 在后面添加:robots.txt 得到: User-agen
获取网站后台权限理解
妖魔鬼怪快离开的博客
03-31 6274
后台常见位置查找 猜解常用路径 Admin、admin_login.asp、admin_login.php部分网站默认都是admin目录后台。虽然开发人员安全意识逐渐完善,但还是有相当一部分网站管理员直接就用默认的路径。我们找后台时从常见的默认界面入手往往会有意外收获。 robots.txt robots.txt是一种存放于网站根目录下的ASCII编码的文本文件,它通常告诉网络搜索引擎,此网站中的哪些内容是不能被搜索引擎获取的,哪些是可以被获取的。管理员们为了让搜索引擎不要收录admin页面而在robots
如何获取某个网站的后端信息
zhangyuezjut的博客
01-11 2608
1. 在浏览器中输入网址: www.netcraft.com 2. 在上图的红色框框中输入想要了解的网站的网址,下图是我输入(www.qq.com)的结果截图 3. 可以从结果看出这个网站的后端服务器,操作系统,DNS等等信息。各个网站所显示信息不同。 ...
网页数据抓取工具 (谷歌插件 web Scraper)
热门推荐
hezheqiang的专栏
01-04 19万+
简单的数据抓取教程,人人都用得上 Web Scraper 是一款免费的,适用于普通用户(不需要专业 IT 技术的)的爬虫工具,可以方便的通过鼠标和简单配置获取你所想要数据。例如知乎回答列表、微博热门、微博评论、电商网站商品信息、博客文章列表等等。 安装过程 在线安装方式 在线安装需要具有可FQ网络,可访问 Chrome 应用商店 1、在线访问web Scraper 插件,点击 “...
.net 后台管理框架
最新发布
06-23
.NET 后台管理框架是一种用于开发网站后台管理系统的框架。它基于微软的.NET技术和ASP.NET MVC框架构建,旨在提供一套简单易用的解决方案,以加速开发过程和提高代码质量。 .NET 后台管理框架具有易于扩展和自定义...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值