如果是html格式的站
我们先打开网站
然后单击鼠标右键 按查看源文件-编辑-查找
输入asp 看有没有网站ASP文件或ASP带参数
1:注入点
先把IE菜单=>工具=>Internet选项=>高级=>显示友好 HTTP 错误信息前面的勾去掉。
否则,不论服务器返回什么错误,IE都只显示为HTTP 500服务器错误,不能获得更多的提示信息。
http://site/web0day.asp?id=1
我们在这个地址后面加上单引号’ 然后and 1=1 正确 and 1=2 错误的话就说明存在注入漏洞了!
注入点爆库 ***
先举个例子一个注入http://site/asp/web0day.asp?id=1
然后改成爆库http://site/asp%5cweb0day.asp?id=1
利用%5c爆数据库
如果不注入点的话 就用批量扫描注入点工具扫描 防注入就用中转注入
2:上传漏洞
用一些扫描上传漏洞字典或工具扫描 百度搜索把一大把
3:后台
1:
一般站都是admin manage目录 有这个目录不可以见后台
用一些扫描后台漏洞字典或工具扫描
注入如果没有办法的情况 我们就一个网站目录扫描
比如:http://www.xxx.com/manage/
2:或单击网站图片按 鼠标右键-属性 看地址
比如
http://pic.seo-6.com/Pupian/102020/3izujd3i15q-yseo_com.jpg
我们可以看下可以列目录不
http://www.xxx.com/images/
如果是http://pic.seo-6.com/Pupian/102020/ *** jtjvjpjb3-yseo_com.jpg
一般都后台http://www.xxx.com/admin/ 有时候可以直接转到后台
不行的话就直接这个目录用字典或工具扫描
3:看网站做下面版权备案那里 看
比如Powered by xxx的 或网站连接
4:后台入侵
一般入侵后台常用的密码admin admin admin admin888 等等
万能密码'or'='or' 'xor 'xor
5:编辑器漏洞 不会的就在百度搜索把一大把
6:注入点入侵的一些问题
1:有时候注入点找不到表段 先看后台有没有什么相关的资源
看网站做下面版权备案那里 看 比如Powered by xxx的 或网站连接 在百度下源码分析
2:有时候注入点找不到字段 我们就到后台-按查看源文件 看用户一些字段
曾看见到过一句话“你能看到多远的过去,就能看到多远的未来”。 这句话用在服装人身上十分合适。 过去是实体店的天下,之后是发展迅猛的淘宝电商,到了现在,异军突起的朋友圈营销也有了一席之地。 ...
终奖单独计税的优惠还能再用三年,将持续到2021年12月31日。 这三年过渡期,年终奖单独计税和年终奖纳入全年收入综合计税的方式并存,如果选择后者,对于低收入者来说相对更划算,部分人甚至不用为...
每日要闻房屋和住宿的开放必须显示我的身份证登记,同时身份证信息将被发送到公安局的系统,但是除了涉及非法犯罪的处理外,还需要转让,一般警察无权对个人通讯记录,房屋信息,住所地址等进行查询。 根据《旅馆...
互联网BAT三巨头中的百度,今年似乎是多事之秋。这家公司比以往任何时候都夺人眼球,而这一切几乎都是以负面形象示人居多。年初的百度贴吧事件、魏则西事件、乃至一个总监行业大会演讲,被业内评委史上最low的...
说到杨九郎和张九龄,两人都是德云社九字科的相声演员。最近两人在德云综艺德云斗笑社中的表现让更多不了解相声、不了解这些相声演员的观众纷纷对他们感兴趣。大家都知道在相声界中是非常讲究辈分的,尊卑礼仪非常的...
本文导读目录: 1、黑客帝国1十句经典台词中英文 2、thereisnospoon是什么意思 3、黑客帝国2先知与NEO的台词 要英文的 4、黑客帝国结尾造物主和先知的对话是什么意思?...