1、ASP安全

ASP安全&MDB下载植入&IIS短文件名&写权限

了解即可,被淘汰了

1、ASP搭建组合

  • Windows

  • IIS(中间件)

  • asp

  • access / sqlserver

    漏洞主要在中间件(IIS)和开发语言(asp)上

2、ASP数据库下载、植入

access数据库 一般后缀名:

  • mdb(默认下载)
  • asp
  • asa

思路:知道数据库地址,尝试下载获取数据库文件、获取当前管理员账户密码。

mdb思路:

  • 下载直接打开

示例:直接访问http://xxx.com/xxx.mdb,下载文件解密获取数据。

原因:管理员未设置解析mdb文件。

asp思路:

默认地址/data/data.asp(一般都会修改)

  • (会被解析,看到的是乱码)下载后后缀改为mdb再打开。
  • 由于网站会解析asp,所以可以写一句话木马到数据库(比如在留言板写),然后菜刀连接。

3、IIS短文件探测 & 写权限

工具:github

功能:探测网站结构,用来辅助猜测后台文件名。

缺陷:只能获得文件名的前6位字符。

比如:asp_admin.asp文件只能探测到asp_ad~.asp

4、IIS文件上传解析

IIS可解析的命名格式:

  • 1.asp
  • 1.asp;jpg
  • a.asp/1.jpg(网站本身有a.asp目录)

思路:

上传以上命名的一句话木马文件

5、IIS写权限

IIS6.0存在此漏洞

工具:IISput

网站开启了写入权限。

思路:用工具检测IIS搭建的站点是否有写权限,有的话利用工具向目标写入木马文件。

相关推荐
xin007hoyo16 分钟前
算法笔记.染色法判断二分图
数据结构·笔记·算法
大学生亨亨1 小时前
go语言八股文(五)
开发语言·笔记·golang
hunzi_11 小时前
筑牢数字防线:商城系统安全的多维守护策略
安全·系统安全
群联云防护小杜2 小时前
云服务器主动防御策略与自动化防护(下)
运维·服务器·分布式·安全·自动化·音视频
视觉&物联智能2 小时前
【杂谈】-人工智能驱动的网络安全威胁:新一代网络钓鱼
网络·人工智能·web安全·网络安全·安全威胁分析
博睿谷IT99_3 小时前
网络安全怎么入门?快速了解
安全·web安全
无敌小茶4 小时前
Linux学习笔记之动静态库
linux·笔记
学习溢出4 小时前
【网络安全】网络钓鱼的类型
网络·安全·网络安全·网络钓鱼·社会工程
DXM05214 小时前
牟乃夏《ArcGIS Engine地理信息系统开发教程》学习笔记3-地图基本操作与实战案例
开发语言·笔记·学习·arcgis·c#·ae·arcgis engine
fmingzh5 小时前
NVIDIA高级辅助驾驶安全与技术读后感
人工智能·安全·自动驾驶