入侵ASP.net网站的经验

最新推荐文章于 2020-12-18 17:10:20 发布
最新推荐文章于 2020-12-18 17:10:20 发布 · 313 阅读 · 1
文章标签:

#ASP.net #.net #ASP #Web #HTML

本文介绍了攻破.NET网站的多种技巧,包括利用上传漏洞、SQL注入等手段,并提供了具体的操作步骤与实例。还讨论了如何获取网站绝对路径及登录后台的方法。

1、对一般遇到.net的网站时
  通常会注册个用户
  第一选择利用上传判断的漏洞 加图片头GIF89A 顺利饶过
  
  2、第二种就是注入了, 在?id=xx后加单引号 " ' "
  一般情况下 用NBSI 啊D来SCAN 都可以发现BUG页面
  而且国内大多.net都是使用MSSQL数据库
  发现注入点也可以从login下手 其实这个方法目前的成功率在75%
  
  3、不过遇到搜索型的,和没错误信息回显的时候 在这里就卡住了
  大家可以看看网上一篇 搜索型注入的文章 运气好,数据库和WEB在一起
  直接在搜索里写备份LOG语句 如果输入框限制字符 可以本地做个POST表单
  也可以用WsockExpert抓包 对search.aspx?后的值分析后加注入语句
  获取路径就更好办了 只要web.config里
  代码如下:
  
  <!-- Web.Config 配置文件 -->
  
  <configuration>
  <system.web>
  <customErrors mode="On"/> '这里为off就失败
  </system.web>
  </configuration>
  
  那么只需要在任意一个文件名前
  如allyesno.aspx 改为~allyesno.aspx 顺利获得WEB绝对路径
  
  4、运气好,发现登陆后台:
  比如:http://allyesno.cnblogs.com/admin/login.aspx
  如果输入密码错误返回到http://allyesno.cnblogs.com/admin/error.aspx
  如果输入http://allyesno.cnblogs.com/admin%5Cindex.aspx说不定可以饶过验证。
  
  5、后台饶过方法:
  'or''='
  'or''='
  或者
  'or'='or'
  'or'='or'


本篇文章来源于 黑客时空(hacksky.net)-国内最好的网络安全联盟 原文链接:http://www.hacksky.net/news/HTML/5667.html

入侵ASP.net网站经验附利用代码
10-30
ASP.NET网站的安全性是开发者和管理员都需要密切关注的问题。...总之,了解这些攻击手段对于防止ASP.NET网站入侵至关重要。开发人员应始终保持警惕,采取必要的安全措施,以确保网站的安全运行。
ASP.NET编程知识】服务器安全狗导致ASP.NET网站运行出错的一个案例.docx
05-21
ASP.NET编程中,服务器的安全设置对于网站的正常运行至关重要。在这个特定的案例中,问题出在服务器上安装的安全狗软件。安全狗是一款常见的服务器安全防护软件,它提供了防火墙、入侵检测、防DDoS攻击等多种功能...
ASP.NET网站入侵思路
xcagy-国际性的文档记录中心
12-18 587
想办法把下面的代码保存为xxx.ashx文件,然后上传到对方服务器,然后通过url访问即可看到 web.config <%@ WebHandler Language="C#" Class="TextLd" %> using System; using System.Collections.Generic; using System.Linq; using System.Web; using System.Data.SqlClient; public class Tex
了解ASP入侵[收集总结](转)
08-11 179
了解ASP入侵[收集总结](转)[@more@]ASP可运行的服务器端平台包括:WinNT、Win2k、WinXP和Win2003,在Win98系统里装上PWS4.0也可运行。现在很流行的注入攻击,就是利用提交特殊地址将ASP...
asp.net服务器入侵方法
Keymo_的奋斗史
04-11 2785
1.ASP中常用的标准组件:FileSystemObject,这个组件为 ASP 提供了强大的文件系统访问能力,可以对服务器硬盘上的任何有权限的目录和文件进行读写、删除、改名等操作。FSO对象来自微软提供的脚本运行库scrrun.dll中。使用下面的代码就可以在ASP中创建一个FSO对象:Set fso = CreateObject("Scripting.FileSystemObject")我们使
ASP.net服务器的入侵方法详解
Yao,Mane
04-22 523
1.ASP中常用的标准组件:FileSystemObject,这个组件为 ASP 提供了强大的文件系统访问能力,可以对服务器硬盘上的任何有权限的目录和文件进行读写、删除、改名等操作。FSO对象来自微软提供的脚本运行库scrrun.dll中。使用下面的代码就可以在ASP中创建一个FSO对象:Set fso = CreateObject("Scripting.FileSystemObject")我们使
关于ASP.net服务器的入侵方法(2)
suilam的专栏
09-19 1253
转自:http://book.studa.com/2004/3-12/2004312032838.html.创建数据源的代码(代码在listdrivers.aspx.cs文件中)://通过此方法返回一个集合形式的数据视图DataViewICollection CreateDataSource() {//定义内存中的数据表DataTableDataTable dt = new DataTable()
ASP.NET源码——ASP.NET Web BackDoor.zip
10-10
ASP.NET Web BackDoor可能是一个恶意开发者或者黑客创建的组件,其目的是为了远程控制或监视使用ASP.NET技术构建的网站。 **源码分析** 1. **编码与解码**:ASP.NET后门可能会使用各种编码技术来隐藏其真实意图,...
服务器安全狗导致ASP.NET网站运行出错的一个案例
10-25
服务器安全狗是一款服务器安全防护软件,能够为服务器提供包括但不限于网站防火墙、防入侵、病毒查杀、数据保护等多种安全功能。在使用服务器安全狗保护服务器的同时,可能会遇到与特定应用或编程环境的兼容性问题。...
[其他类别]ASP.NET Web BackDoor 1.0_aspxbackdoor(ASP.NET源码).rar
06-05
ASP.NET Web BackDoor 1.0 是一个针对ASP.NET平台的后门程序,它允许远程攻击者通过Web接口对目标服务器进行控制。这个程序通常由黑客植入,以便在被入侵的系统上执行非法操作,例如读取、写入或删除文件,执行系统...
整理asp漏洞与入侵方式.doc
01-15
0x00 前言 3 0x10 WEBDAV 3 0x20 IIS6短文件名漏洞 3 0x30 网站源代码 4 0x40 网站备份文件、说明文件、数据库备份文件与robots.txt 4 0x41 网站备份文件 4 0x42说明文件 4 0x43数据库备份文件 5 0x44 Robots.txt 5 0x50 未验证的上传页面 5 0x51 经典的upload.asp/upfile.asp组合 5 0x52 与之类似的上传漏洞 5 0x53黑名单验证 5 0x54 shtml/shtm/stm文件爆源码 5 0x55其他方式 5 0x56 MIME 类型检查 6 0x57 一个偷懒用的JS提交代码 6 0x60留言板攻击与非法注册 6 0x61 留言板攻击 6 0x62非法注册 6 0x70未经授权访问的后台文件 7 0x80 万能密码与登陆框注入 7 0x81 万能密码 7 0x82 登陆框注入 7 0x90 注入攻击 7 0xA0后台功能利用 8 0xA1 配置文件插马 8 0xA2 数据库备份 8 0xA3 后台中的上传页面 8 0xA4目录遍历与任意文件下载 9 0xA5 利用SQL执行功能导出SHELL 9 0xA6 模板/JS等生成页面 9 0xB0其他 9 0xB1 细心,耐心与笔记 9 0xB2 阅读源码 9 0xB3判断是否是JS验证 9 0xB4 一个关于IIS6解析漏洞的小知识 9 0xB5 狗、神、盾 10 0xB6 IIS7 10 0xB7 COOIKE伪造,百度谷歌搜索CMS漏洞 10 0xB8 编辑器后台 10 0xC0附件 10 0xC1 沙盘sandbox 10 0xC2 LOCK数据包 10 0xC3 IISWRITE 10 0xC4 ACCESS跨库查询测试站点 11 0xC5 IIS短文件名漏洞利用工具 11 0xC6 经典上传漏洞测试站点 11 0xC7 eweb与fck漏洞资料 11 0xC8 lake2一句话加密工具 11 0xC9 留言板CSRF测试站点与利用代码 11 0xCA 万能密码列表 11 0xCB ACCESS偏移注入知识 11 0xCC 带有一句话木马的数据库 11 0xCD 杨凡大牛发出的文档 12 0xCE Upload_Attack_Framework文档 12 0xD0参考资料 12
ASP网站入侵
snowjakemiao的博客
07-17 635
ASP可运行的服务器端平台包括:WinNT、Win2k、WinXP和Win2003,在Win98系统里装上PWS4.0也可运行。 现在很流行的注入攻击,就是利用提交特殊地址将ASP中引用的正常SQL语句和入侵者所需要的SQL语句一并执行,使入侵者达到入侵的目的。随着有一些脚本注入工具发布,使菜鸟也可以轻松完成对ASP的注入攻击。那么我们来了解一下这些工具是怎样注入的。 首先,入侵者会对...
记一次ASP.NET网站入侵和如何避免被入侵
weixin_33726313的博客
10-29 220
ASP.NET网站入侵第二波(LeaRun.信息化快速开发框架 已被笔者拿下) 详细介绍请看第二波 首先我要申明的是不是什么语言写出来的程序就不安全,而是得看写代码的人如何去写这个程序   前些日子我去客户那调研,发现客户的监控系统用的是海康威视的硬盘录像机,然后默认用户名是amdin 密码是12345,回来后就想玩一玩看看有多少人用的是默认密...
关于ASP.net服务器的入侵方法(1)
suilam的专栏
09-19 1002
转自:http://book.studa.com/2004/3-12/2004312032756.html有个朋友在QQ上问了我关于ASP.net服务器的入侵方法我将ASP.net上的一些入侵常用手段告诉大家1.ASP中常用的标准组件:FileSystemObject,这个组件为 ASP 提供了强大的文件系统访问能力,可以对服务器硬盘上的任何有权限的目录和文件进行读写、删除、改名等操作。FSO对象
关于ASP.net服务器的入侵方法详解
04-09 419
<br />有个朋友在QQ上问了我关于ASP.net服务器的入侵方法我将ASP.net上的一些入侵常用手段告诉大家<br />1.ASP中常用的标准组件:FileSystemObject,这个组件为 ASP 提供了强大的文件系统访问能力,可以对服务器硬盘上的任何有权限的目录和文件进行读写、删除、改名等操作。FSO对象来自微软提供的脚本运行库scrrun.dll中。使用下面的代码就可以在ASP中创建一个FSO对象:Set fso = CreateObject("Scripting.FileSystemObje
黑客技术揭密 ASP.net服务器的入侵方法(转)
cuankuangzhong6373的博客
05-27 517
有个朋友在QQ上问了我关于ASP.net服务器的入侵方法我将ASP.net上的一些入侵常用手段告诉大家。   1.ASP中常用的标准组件:   FileSystemObject,这个组件为 ASP 提供了强大的文件系统访问能力,...
ASP.NET网站入侵第三波(fineui系统漏洞,可导致被拖库)
weixin_34194379的博客
12-30 326
注:屏蔽本漏洞的紧急通知:http://fineui.com/bbs/forum.php?mod=viewthread&tid=7863 本人小学文化,文采不好,写的不好请各位多多包含,     最近笔者喜欢研究一些代码安全方面的问题,前些日子研究了下力软的框架,发现代码安全方面做的还是不足的,今天偶尔的机会接触了下fineui,从最开始的注入开始,都没有什么突破, 最好就想到...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值