php网页找注入点,另类找注入点技巧_91Ri.org

最新推荐文章于 2023-03-07 16:50:41 发布
最新推荐文章于 2023-03-07 16:50:41 发布
阅读量1.9k 收藏 3
点赞数
文章标签: php网页找注入点

一般的注入点像我这种菜鸟都会用以下方式

1:手工测试下

2:用明小子或者阿D直接浏览页面找注入点

3:通过搜索引擎site:xxx.com inurl:php or asp 之类的

4:safe3 jsky之类的工具抓取连接后工具自动判断~~~

方式1缺点:只能测试部分页面拉,有点看运气的感觉

方式2缺点:基本和第一个的缺点差不多,不全面,只能浏览部分页面

方式3缺点:搜索引擎收录有限哈,有些站甚至还没收录

方式4缺点:所说是模拟抓取页面链接,在检测,可实际上每次都那么早结束了,爬不完全站,有些站点还限制了这类软件爬行

今天给的思路是:

方案1:

1:自己本地架设个搜索引擎,蜘蛛的名字命名为“Baiduspider”(这样可以规避不少限制,也难被管理发现),

2:然后抓取目标站所需要的页面链接,如收录包含php?asp?这类页面的,避免收录html,htm

3:阿D浏览 本地 site:xxx.com

注入点就源源不断的出来拉~~~~

用此方法,上次成功拿到 世纪佳缘 点几个

用到的工具1:本地php+mysql环境,这个自己下吧~~到处有~~

用到的工具2:蜘蛛系统: 蜘蛛系统开源版本.rar (5.01 MB)

方案2:

原理差不多,没上面那个好~~~因为无法设置规避页面~~~

1:一款sitemap制作工具,模拟爬行全站,生成sitemap.html

2:本地搭建web环境,访问127.0.0.1/sitemap.html

3:阿D检测sitemap上的所有链接~~~

用到的工具1:本地asp环境,这个自己下个netbox吧

用到的工具2: 无限制的SiteMap制作工具.zip (407.24 KB)

有人找不到蜘蛛系统帐号密码哈~~~~登录密码和使用说明注意压缩包内文本~~蜘蛛的登录密码和后台的登录是一样的~~

文章来自t00ls转自独自等待 由网络安全攻防研究室(www.91ri.org) 网络信息安全小组收集整理.

吴跃湘
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[91ri]渗透用的Python小脚本
weixin_30621959的博客
09-29 4601
0x00 渗透的很多时候,到的工具并不适用,自己码代码才是王道,下面三个程序都是渗透时在网络上不到合适工具,自己辛苦开发的,短小使用,求欣赏,求好评。 0x01 记录root密码小工具 root.py 1 #!/usr/bin/python 2 import os, sys, getpass, time 3 4 current_time = time.strft...
安全站点导航(感谢backlion整理)
qdslg的专栏
08-04 1万+
个人技术博客: 国内: 危险漫步  luan PHITHON(离别歌) http://www.blogsir.com.cn/ (江sir) http://blog.csdn.net/qq_27446553/ (qq_27446553博客) http://0x007.blog.51cto.com/6330498/1628943 (0x007博客) http://ver007.com/(...
小子注入,怎么使用呢?
VV13099612171的博客
10-23 1310
大家好!今天我来讲的是怎么使用明小子以及拿站的方法! 其实明小子使用方法很简单,但是还是有些朋友不知道怎么使用明小子,明小子主要是注入点非常的方便,傻瓜式操作。这里我就写下新手教程,高手可以跳过哈! 好了不说了 下面看我具体的图文解析!先打开我们的明小子,在当前路径这里输入你要注入的网站地址,然后连接如下图。如果此网站有注入点的话,下面注入点框内会出现红色的注入点地址。 我们任意选中一个地址单击鼠标右键,点击检测注入。 然后点击开始检测按钮后,如下图操作。 最后我们得到网站...
安全站点导航
06-12 1万+
个人技术博客: 国内: http://blog.csdn.net/qq_27446553/(qq_27446553博客) https://blog.51cto.com/0x007(0x007博客) http://www.lorexxar.cn/(lorexxar博客) https://evi1cg.me/(evilcg博客) http://helloeveryone.blog.51cto.com/(牛磊博客) http://www.7kb.org/(7kb论坛) http://lu4n...
DNS缓存服务器投毒
代码析构师的专栏
08-07 1985
只要黑客想这么做,那我可以保证,您访问的Google,绝不是Google,淘宝也不是淘宝,而是一个伪装的网站,2008年,给ISP的DNS缓存服务器投毒是安全界最热门的话题,并且,这个问题仍然无法解决…… 通过本文,会看到一些奇妙的事情: 1、您发现在自家电脑的浏览器里输入www.91ri.org,访问的却是矛盾网。 2、随意的给google加个子域名,比如test.91ri.o
airi.1.0.11_foundmb9_airi11_themes_
10-03
标题 "airi.1.0.11_foundmb9_airi11_themes_" 暗示这是一款名为 "Airi" 的软件的版本号为 1.0.11 的主题包,其中包含了 "foundmb9" 和 "airi11" 的主题元素。在IT领域,"Airi" 很可能是某种在线平台或应用,而...
RI.zip_ImageProcessing_composition96x_nexthw5_ri_zip
07-15
标题中的"RI.zip_ImageProcessing_composition96x_nexthw5_ri_zip"暗示了这是一个与图像处理相关的压缩文件,特别提到了“Residual Interpolation”(残差插值)技术,它在颜色图像处理中起着重要作用。这个文件可能...
RI_TI.rar_串口通信 换行
09-24
单片机串口通信程序, code uchar TEXT0[] = "****************************\r\n" //\r\n是回车换行 code uchar TEXT1[] = "单片机串口通讯测试\r\n" ...code uchar TEXT3[] = "****************************\r\n\r\n" ...
ri.yearlist.ee_addon.2.0
07-07
年表 2.1为您的条目获取四位数年份。 年份列表插件是一种为您的条目获取独特的4 位数年份的简单方法,因此您可以列出档案的年份。 {exp:yearlist channel="yourchannel" category="1" site="1"}{years}{/exp:...
nou_ri07.zip_分数阶 变换器
09-23
通过对"nou_ri07.m"文件的学习和理解,工程师可以深入掌握分数阶变换在实际系统中的应用,特别是在优化PWM整流器性能和抑制谐波方面的潜力。这不仅有助于提高电力系统的效率,也有助于减少对电网的影响,对于现代...
小计一次linux下渗透方法
weixin_30781775的博客
07-08 180
本文转自91ri 踩点 目标域名是XX.com 我们的目标是大站,所以主站一般都挺安全的,所以直接寻二级目录,运气好时能到一些开源的cms,运气更好点到个dede啥的,那就…. 我们直接枚举他域名,先看看分站,因为比较大猜测他是内网,先搞下台内网机器再说。 分析及获取分站权限 枚举了下分站还挺多的,结果看了下 10那台服务器上面有个ecshop的程序,house也在上面,随便...
渗透测试之敏感信息收集
weixin_68057794的博客
09-09 1868
渗透测试之敏感信息收集
拿到一个网站,怎么判断该网站是否存在sql注入漏洞?
2201_76002918的博客
03-07 3369
漏洞挖掘 漏洞利用 修复漏洞 sql注入漏洞、文件操作漏洞、xss、rce、逻辑漏洞 反序列化、、、、 sql注入漏洞: 网站的数据库 脱裤 拖取网站数据库 数据库基础: 数据库基本结构:数据库 -- 数据表 -- 数据列 -- 数据 sql语句:select * from 数据表的名称 where 数据列的名称=1 web基础: https://www.aaa.com/index.php?id=1 url:统一资源定位符 域名:www.aaa.com ?id=1
知道一个网页地址怎么它的注入点呢_教你不用借助软件,抓取网页上的媒体下载地址...
weixin_39938269的博客
11-08 751
有时候,在某个网页上听到一首音乐,我们特别想下载下来作为铃声,或者其他非商业用途,但该网页并未提供下载方式,或者下载需要注册登录等麻烦过程。又或者在网页上看到了一段好看的视频,想把它的某个片段加入自己的年会PPT中。这时候,就需要一种方法来获取网页上的媒体文件。上图是编者为了方便,给自己的浏览器安装了一款扩展。但并不是每个人都能下载安装该扩展,所以编者就不借助这个扩展。只用浏览器来教你如何下载媒体...
mysql 注入 网站 怎么_Web安全0001 - MySQL SQL注入 - 如何寻注入
weixin_35430535的博客
01-28 480
注:本文是学习网易Web安全进阶课的笔记,特此声明。其他数据库也可以参考寻注入点。A:一、信息搜集(百度)1、无特定目标inurl:.php?id=2、有特定目标inurl:.php?id= site:target.com3、工具爬取spider,爬取搜索引擎的搜索结果或目标网站的链接,针对网站动态页面进行测试二、注入识别1、手工简单识别‘ # 撇号and 1=1 / and 1=2and ‘1...
教你怎么看一个网站是否存在漏洞!
热门推荐
z1446722374的专栏
08-20 2万+
教你怎么看一个网站是否存在漏洞! 该隐藏帖已经发布超过30天,因此无需回复即可浏览!        教你怎么看一个网站是否存在漏洞!!!  漏洞  近来很多网站受到了各种各样形式的攻击,黑客攻击的动机各不一样,黑客人攻击的目标也有不确定性,作为一家企业的网管、或CEO您是否担心您的网站也遭受同样的命运呢?      什么样的站点容易被黑客入侵呢?      有人说,我做
谷歌搜索sql注入
最新发布
11-05
SQL注入是一种常见的网络安全攻击方式,利用这种漏洞,黑客可以通过在用户输入的数据中注入恶意SQL语句来达到控制或者篡改数据库的目的。而谷歌搜索SQL注入点是指使用谷歌搜索引擎来查当前互联网上可能存在SQL注入漏洞的网站或者系统。下面就如何用谷歌搜索SQL注入点进行简要介绍。 首先,我们可以在谷歌搜索栏中输入“SQL注入”或者“SQL注入点”,然后点击搜索按钮。谷歌将会返回一系列相关的搜索结果。我们可以点击其中任意一个结果,查看该网站是否具有SQL注入漏洞。 另外,我们还可以使用一些针对SQL注入漏洞的特定搜索语法来精确地搜索这些漏洞。例如,我们可以使用“inurl:php?id=”的搜索语法,这样谷歌就会返回具有url中包含“php?id=”的网站,其中“id=”是常见的SQL注入漏洞表现形式之一。 此外,还可以使用其他关键词,比如"SQL注入语句"、“SQL注入漏洞利用”等来搜索。通过这些关键词的组合使用,我们可以更方便地寻到存在SQL注入漏洞的网站或者系统。 在使用谷歌搜索SQL注入点的过程中,我们需要注意一些道德和法律问题。首先,我们应该遵守法律法规,不得擅自利用这些漏洞进行恶意攻击或者非法活动。其次,我们应该明确自己的行为目的,如果是为了提高网络安全意识或者测试自己的网站安全性,我们需要提前取得相关授权,并在合法的范围内进行行动。 总之,通过谷歌搜索SQL注入点可以帮助我们到存在SQL注入漏洞的网站或者系统,但我们必须遵守法律法规和道德规范,不能滥用这些信息来进行非法活动。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值