想要黑站点首先得找到锁定一个网站为目标下手!最常用的就是先找这个网站有没有注入漏洞!
一般检测注入漏洞,可用下面两种方法:
第一种:NBSI,啊D,明小子都可以。
第二种:GOOGLE,百度检测!这个取决于该网站被搜索引擎收录多少页面有关!拿到一个asp页面后可以
用啊D等工具检测一下!
inurl:asp? site:qunjie.cn 这个命令的意思就是检查qunjie.cn这个网站有没有asp的页面!
当然也可以检测后台或其他的!后台命令:inurl:admin site:qunjie.cn inurl:loginsite:qunjie.cn
当然还有很多这样的命令,灵活运用!
用啊D等工具检测这个连接后看是什么样的数据库,然后在做下一步的入侵工作!
通常MSSQL的数据库就是找目录,然后差异备份写一句话木马!
ACCESS的数据库的数据库就是猜表名、字段、内容,然后找后台进去!今天给大家讲的是这种数据库拿站的方法!
看我这个连接就是ACCESS的数据库,像这种数据库就是猜表名,找到有admin,user类的表段,然后在猜
字段、内容,最后出来的帐号、密码很有可能就是该网站管理员的密码!看我的!有的密码是MD5加密了的,
需要解密,可以拿到网上去解密!当然有的MDB5的解不出来!也可以用其它的解密方法!也有手工检测
表名的方法!
有了管理员密码,那就好办多了,先是找后台,这下子我们又要用到工具了!看好,看到了吧,3个工具
如何检测都告诉你们了!当工具检测不出来的时候也可以用google,baidu!我就不演示了!
拿到了后台,我们打开看看!
进来后台了就好办多了,通常用到的就是数据库备份和抓包上传ASP马!
这个后台没有数据库备份的地方,我们只有抓包上传ASP小马了!具体的看我操作!
文件格式不正确,还是不行,我们抓包吧!
还是不行!吗的!
<BODY bgColor=menu topmargin=15leftmargin=15 ><br><script>Addpic('<img src=小马.asp
有个小马.asp这个,试下!
OK!我们传大马!
太卡了!
OK!拿到了!
今天就差不多就到这吧!
提权我就不搞了,太卡了!
本内容试读结束,登录后可阅读更多
下载后可阅读完整内容,剩余1页未读,立即下载
