虽然ASP注入已经是很早的事了,还是有很多使用良精早期程序站点都存在这个问题。我们可以很轻易的通过小榕的wid/wed或者啊D的注入工具得到用户密码,从而进入后台管理。通常后台都提供图片(jpg,gif)上传功能及数据库备份功能,执行以下步骤上传ASP木马:
1、将ASP木马(如海洋顶端)改名.gif或.jpg(允许的上传格式即可);
2、复制成功上传的图片的路径,如image/upload/2012.gif
3、转到数据库备份界面: 如:当前数据库:../data/data.mdb (改成../image/upload/2012.gif)
要备份的数据库:../backdata/data.mdb (改成../2012.asp)
这样便成功的上传ASP木马,通过域名/xx/2012.asp,便可任意控制主机了!
所以在写ASP程序时,要注意参数是否完全过滤,当然服务器的权限设置同样注意!
本文章仅用于个人学习,转载自网络。1.NC、WSockExpert,双剑合壁 NC和WSockExpert是本地提交入侵中经常用到的工具,WSockExpert用于数据包的抓取,NC用于数据包的提交。下面我们就来看看如何利用这两款工具绕过...
11月10日10:00红包密令(冒号后面那串)大河报:1995080111月10日12:00红包密令(冒号后面那串)北京新京报传媒有限责任公司:新京报十二岁生日快乐钱江晚报:刷钱报抢红包skechers运动旗舰店:斯凯奇双十一3折疯抢骆驼户...
为庆祝本博客重新备案成功,特此分享一个可以注册送300元代金券并能免费购买一个月VPS的资源!即买即用,非常不错!申请条件:1、手机号接收短信2、邮箱激活条件很简单,仅此而已。注册成功即可获得300元代金券。只是活动时间有点短,截止到201...
从网络上下载到了SEO实战密码的pdf格式,虽然非常的完整,但是在电脑上看着实在是累眼,上班时间又不能看得太久。下载的pdf格式《SEO实战密码》里面都是扫描的,都是图片格式,用手机QQ阅读或者iread虽然可以读取pdf格式文件,但是手机...
入手红米,MIUI自带的主题确实不错,但是不个性,于是想找个好看点的主题换换。可是,找了大半天,看了得上百个主题,好看一点的吧,要收费,看看免费的吧,又不怎么好看~虽然知道做主题的人也很辛苦,但是不就是一个主题么,至于收这么多钱么?换个主题...
下了很多手机起名软件,其中绝大多数是要收费的,免费的一些宝宝名字太垃圾,看中了一款安卓版起名软件——起名大师.apk。看软件的UI以及操作流程,就可以看出这是一款精心设计的软件,用着上手并且感觉不错。但是有些功能也是收费的,怎么办呢?好用的...
