一个简单的URL注入案例,请高手帮看一下,谢谢
时间:2011-08-10
来源:互联网
这两天在看非安全出品的<精通C#黑客注入编程>
然后做了一个小实验,入侵一个网站
本人保证本帖不做任何损害他人利益的事情
旨在了解书中技术,希望大家共勉
下面言归正传
http://www.nchb.cn/
这是本帖中的目标网站,一个什么武校,可以进行url注入
例如这个页面
http://www.nchb.cn/onews.asp?id=180
经过书中的工具检测,其后台数据库为access
然后利用第五章的注入工具,检测出数据库中存在
admin表,并且有4个字段,分别是admin,password,user,id
并且只有一条记录
通过union查询,爆出的数据对应分别为
admin,bfpms,super,1
(你们可以试下,应该是对的)
然后用书上扫描管理后台的工具,爆出其后台页面如下所示
http://www.nchb.cn//admin OK
http://www.nchb.cn//../admin OK
http://www.nchb.cn//../admin/index.asp OK
http://www.nchb.cn//conn.asp OK
登陆http://www.nchb.cn/admin/index.asp后
出现"后台管理系统登陆"字样的对话框
我是第一次尝试,非常激动,心想没跑儿了
但是账号密码输入后总是不对,说什么账号密码错误
还是进不了网站后台
但是admin表中爆出的记录就那一条呀
password:bfpms只有五位,难道是加密了么?
请高手帮着看下,怎么破
谢谢!
然后做了一个小实验,入侵一个网站
本人保证本帖不做任何损害他人利益的事情
旨在了解书中技术,希望大家共勉
下面言归正传
http://www.nchb.cn/
这是本帖中的目标网站,一个什么武校,可以进行url注入
例如这个页面
http://www.nchb.cn/onews.asp?id=180
经过书中的工具检测,其后台数据库为access
然后利用第五章的注入工具,检测出数据库中存在
admin表,并且有4个字段,分别是admin,password,user,id
并且只有一条记录
通过union查询,爆出的数据对应分别为
admin,bfpms,super,1
(你们可以试下,应该是对的)
然后用书上扫描管理后台的工具,爆出其后台页面如下所示
http://www.nchb.cn//admin OK
http://www.nchb.cn//../admin OK
http://www.nchb.cn//../admin/index.asp OK
http://www.nchb.cn//conn.asp OK
登陆http://www.nchb.cn/admin/index.asp后
出现"后台管理系统登陆"字样的对话框
我是第一次尝试,非常激动,心想没跑儿了
但是账号密码输入后总是不对,说什么账号密码错误
还是进不了网站后台
但是admin表中爆出的记录就那一条呀
password:bfpms只有五位,难道是加密了么?
请高手帮着看下,怎么破
谢谢!
作者: fkrfkr32865 发布时间: 2011-08-10
你这是违法的
作者: net_lover 发布时间: 2011-08-10
顶斑竹
lz
作者: qianzai5765638 发布时间: 2011-08-10
相关阅读 更多
热门阅读
-
office 2019专业增强版最新2021版激活秘钥/序列号/激活码推荐 附激活工具
阅读:74
-
如何安装mysql8.0
阅读:31
-
Word快速设置标题样式步骤详解
阅读:28
-
20+道必知必会的Vue面试题(附答案解析)
阅读:37
-
HTML如何制作表单
阅读:22
-
百词斩可以改天数吗?当然可以,4个步骤轻松修改天数!
阅读:31
-
ET文件格式和XLS格式文件之间如何转化?
阅读:24
-
react和vue的区别及优缺点是什么
阅读:121
-
支付宝人脸识别如何关闭?
阅读:21
-
腾讯微云怎么修改照片或视频备份路径?
阅读:28
