浅谈渗透基础总汇
☯KK | 补丁君:
基础的一个总结,请大神勿入!
入侵介绍:1 上传漏洞;2 暴库;3 注入;4 旁注;5 Cookie欺骗
1、上传漏洞是常见的一种入侵形式, 有的网站存在上传漏洞,然后通过上传漏洞就可以直接得到webshell
形式::/upfile.asp 、/uploadfile.asp 然后通过上传工具就可以得到。
2 、暴库就是提交字符得到数据库文件,这个漏洞现在也常见,也是google hacking的一种
命令:inurl:conn.asp
形式:http://www.xxx.com/dispbbs.asp?boardID=7&ID=161,然后把com/dispbbs中间的/换成%5c
http://www.xxx.com/后面加上conn.asp(利用数据库默认路径)
解释:为什么换成%5c?
因为在ASCII码里/等于%5c,有时碰到数据库名字为/#abc.mdb的为什么下不了? 这里需要把#号换成%23就可以下载了。
3、注入漏洞:手注或借助工具,这个现在应用很广泛的,前面有提到过。
4、旁注:有时入侵某站时可能会遇到障碍,我们可以找下和这个站同服的站点,然后再通过这个站点用提权,嗅探等方法来达到目的。
5、Cookie欺骗
若已经知道某站管理员的站号和md5密码了,但破解不出md5密码,我们就可以用cookie欺骗来实现,把自己的ID修改成管理员的,MD5密码也修改成他的, 这样就达到cookie欺骗的目的!
上面几种入侵都是一些基础知识,大家多灵活应用吧!
@http://www.qxzxp.com/5441.html
