23.手工检测注入点弹出“你的操作已被记录!”之类的信息,访问这个文件:sqlin.asp,如果存在,在注入点后面植入一句话木马:‘excute(request(“TNT”))
接着用一句话木马客户端连接:http://www.xxx.com/sqlin.asp,上传木马即可拿下shell,因为很多防注入程序都是用”sqlin.asp“这个文件名来做非法记录的数据库 。
24.旁注的话,肯定是挑支持aspx的站点来日了,问题是怎样判断呢?方法很简单,在在网站后面加上xxx.aspx,如果返回“/”应用程序中的服务器错误,无法找到该资源,404画面就说明支持aspx木马 。
25.网站后面加test.php 可以查看版本
26.禁忌这两个网站后台文件 admin_index.asp manage_login.asp
【总结16种网站渗透技巧经验】
推荐阅读
- 什么是网站系统安全渗透检测?
- 网站渗透测试原理及详细过程
- 做网站渗透测试,可以从哪方面入手?
- 网站安全渗透 之squid代理漏洞挖掘与修复
- 百度技术架构师总结:微服务架构之访问安全
- PoE交换机使用中常见问题总结
- 培优补差工作教学 培优补差工作总结
- 课题研究教学成果总结 课题总结
- 30分钟搭一个wordpress网站
- 互联网架构演化