https://www.myziyuan.com/
- 互站网
- 典型注入情节:加and 1=1返回正常,加and 1=2出错。有注入漏洞可以用工具(啊D或明小子)猜解他的表名,字段。再找到网站后台,用猜解出的用户名密码登陆。到后台看看有没有能上传或者什么可利用的地方上传asp木马(海阳顶端2006或十三大马等)。利用得到的webshell里的打包功能把网站打包成.mdb,下载回来解包就可以了。有点技术的还可以尝试提权拿服务器。具体的注入方法可以到www.3800hk.com找找相关教程。防止注入:一般注入漏洞是页面没对特殊符号:' and or 等危险sql查询语句过滤而产生的。在源码中增加对这些查询关键字的过滤。也可以在conn.asp中包含一个通用防注入程序。呵呵,黑过一些网站,希望这些对你有用。。。如果信任,可以加我QQ:524629117我试试给你拿这网站的权限。
- 2021-03-19 15:40:01
- 225548545
- <%<br>classtype=request.QueryString("classtype")<br>bigclass=request.QueryString("bigclass")<br>ifbigclass=""then<br>rs.open"select*fromnewswherentype='"&classtype&"'orderbyiddesc",dconn,1,1<br>bigclass=rs("bigclass")<br>endif<br>rs.open"select*fromnewswherebigclass='"&bigclass&"'orderbyiddesc",dconn,1,1<br>%><br><script>alert('xss')</script>
- 2021-02-12 08:13:53
- 免注册用户
- 这个网站的源码哪里有下载,http://www.1so2.com确实不错.挺有创意.建议去源码之家看看.
- 2021-02-12 08:13:53
开通会员