A-A+

关于渗透基础总结

2013年11月11日 渗透测试 暂无评论 阅读 1,905 次

基础的一个总结,请大神勿入!

入侵介绍:1 上传漏洞;2 暴库;3 注入;4 旁注;5 Cookie欺骗

1、上传漏洞是常见的一种入侵形式, 有的网站存在上传漏洞,然后通过上传漏洞就可以直接得到webshell

形式::/upfile.asp 、/uploadfile.asp 然后通过上传工具就可以得到。

2 、暴库就是提交字符得到数据库文件,这个漏洞现在也常见,也是google hacking的一种

命令:inurl:conn.asp

形式:http://www.xxx.com/dispbbs.asp?boardID=7&ID=161,然后把com/dispbbs中间的/换成%5c

http://www.xxx.com/后面加上conn.asp(利用数据库默认路径)

解释:为什么换成%5c?

因为在ASCII码里/等于%5c,有时碰到数据库名字为/#abc.mdb的为什么下不了? 这里需要把#号换成%23就可以下载了。

3、注入漏洞:手注或借助工具,这个现在应用很广泛的,前面有提到过。

4、旁注:有时入侵某站时可能会遇到障碍,我们可以找下和这个站同服的站点,然后再通过这个站点用提权,嗅探等方法来达到目的。

5、Cookie欺骗

今年3.15,这个词火了!若已经知道某站管理员的站号和md5密码了,但破解不出md5密码,我们就可以用cookie欺骗来实现,把自己的ID修改成管理员的,MD5密码也修改成他的, 这样就达到cookie欺骗的目的!

上面几种入侵都是一些基础,大家多灵活应用吧!

给我留言