贰:找各种附带上传功能的程序,比如动力文章、蚂蚁影视、同学录等等,接下来要注册的进行注册不需要注册的可以把该上传功能保存为本地HTM文件来看是否本地限制格式,如果不是的话那就利用林子大哥做的欺骗上传的HTM或者用NC等工具来抓包进行修改然后再上传ASP马。有些程序则需要你把该程序的源代码下下来之后查看上传是否可行和上传的真确地址。
叁:利用%5c进行暴库如果是.mdb格式的则直接下载,利用数据库查看的工具进行查找帐号和密码,如果密码加密就用dv.exe进行破解只破解纯数字和纯字母!数字字母混合的实在太废时间了不推旅烂荐。如果对方数据库为.asp后缀的,那就更好办了在你能填写的信息里填写<%execute request("l")%>的代码来使数据库只执行这个代码就可以用蓝屏大叔的木马客户端来连接对方的数据库上传大的ASP马。
肆:寻找网站各种程序后台,程序越多越好,登陆时先用 'or''=' 帐号密码来测试是否有最老的ASP漏洞,如果都不行再测试默认的帐号密码,一般均为admin或者有的密码为admin888等等。
伍:寻找动网论坛,呵呵 现在大部分都网站都用此论坛程序。动网论坛被高手称为洞网因为其漏洞实在太多了1、上传漏洞,我就不想多说了慎镇腔就是利用upfile.asp 2、默认数据库漏洞,很多的弱智管理员都不改数据库名称的在data/dvbbs7.mdb就可以把数据库下载下来了,再加上dv_log表段看帐号密码使得动网论坛的数据库加密行同虚设。3、虚拟形象插件漏洞,里面同样存在上传漏洞利用方式和upfile.asp一样。4、下载中心插件漏洞,一样的上宽衫传漏洞利用方式。5、数据库备份默认地址漏洞,有些管理员改了数据库的地址,但是由于疏忽而没改备份后的数据库路径地址存在于databackup/dvbbs7.mdb下载下来后和上面第2条用法一样。(有许多的论坛都存在漏洞比如Discuz2.2F等等。。)
陆:各种留言本或日记存在默认数据库漏洞,因为是个小程序所以改的人也不是很多。只要下载该程序下来就可以知道数据库地址了。也有很多别的办法可以知道数据库地址,如:暴库、查看conn.asp的源文件、还有就是利用该程序管理员的疏忽 就是在地址后面打上(程序说明.txt、说明.txt、readme.txt等等)自然就会告诉你它的默认地址了^ ^找到了地址之后可以利用获得的管理员密码来破该站所在的别的管理员密码,很管用的呦 呵呵,还有就是asp结尾的数据库大家可以参照上面的叁用蓝屏大叔的木马来入侵。
柒:利用旁注来进行入侵,有时候大家都一个站一点办法都没有,那怎么办呢?呵呵 这个站没有漏洞并不说该站所在服务器别的站也不存在漏洞,那我们就可以利用查找该服务器玉米的工具来找别的站,然后找到别的站之后再来循环上面的壹~~陆。
先点用FrontPage编辑,打开后保存!!试试下面的方法:
1.先按CTRL+A键将网页全部选中,“复制”,然后从中选取需要的文字即可。
2.调用源文件查看文字。选择菜单“查看”,点击“源文件”,打开记事本就能看到网页的全部文字,选取你需要的即可。
3.点击IE的“工具/Internet”菜单,进入“安腔数全”标签页,选择“自定义级别”,将所有脚本全部禁用然后按F5键刷新网页,然后你就会发现那些无法选取的文字就可以选取了。
4.利用抓图软件SnagIt实现。SnagIt中有一个“文伍穗首字捕获”功能,可以抓取屏幕中的文字,也可以用于抓取加密的网页文字。单击窗口中的“文字捕获”按钮,单击“输入”菜单,选择“区域”选项,最后单击“捕获”按钮,这时光标会变成带十字的手形图标,按下鼠标左键在网页中拖动选出你要复制的文本,松开鼠标后会d出一个文本预览窗口,可以看到网页中的文字已经被复制到窗口中了。剩下的工作就好办了,把预览窗口中的文字复制到其他文本编辑器中即可,当然也可以直接在这个预览窗口中编辑修改后直接保存。
5.使用特殊的浏览器。如TouchNet Browser浏览器具有编辑网页功能,可以用它来复制所需文字。在“编辑”菜单中选择“编辑模式”,即可对网页文字族基进行选取。
6、使用文件菜单将其另存为,这一类方法适用于动力文章管理系统Ver3.51等版本。
然后用word或frontpage打开。
7、直接使用word或frontpage对其编辑。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)