一般注入点都是这种形式,但随着注入技术的普及,安全意识稍差的人会过滤掉明显的注入点没有注入点的网站如何入侵,更不要说黑客网站了。记得7716的一个动画教程9.好像讲的是注入朝阳网。我什至记得好像是一个下载页面,字符注入,和注入页面差不多。为了确认我尝试过,我测试的页面是下载页面后面的“'”。
看起来我已经做了一些过滤。放弃不是我的风格。我偶然发现了“点击下载”这个词。好吧,让我们看看它的地址是什么样的,也许这就是违规行为。知道地址有两种方法,一种是看源文件,比较方便,懂一点HTML语言就OK了。
另一种方法是使用 FlashGet 等下载工具。这里注意,网际快车的“URL”栏显示的是FTP地址,真正的重定向页面在“参考”中。显示的地址是。
看看有没有注入漏洞,加单引号,返回错误信息。
添加分号后,出现下载提示;加上“and1=1”和“and1=2”返回类似情况,基本可以判断存在注入漏洞。虽然有漏洞没有注入点的网站如何入侵,但是如果我们手动注入,还是会回到正常页面(即下载提示)。这不是很麻烦吗?和偶像一样,菜菜还是比较喜欢用工具,因为方便。注入当然是使用小猪的NBSI2。我什至试过了。如果直接添加注入页面的URL,会显示“尚未检测到注入漏洞”。
所以我们需要做的最关键的一步就是在NBSI2的“特征字符”中添加“id”(注意大小写),然后字符框变为可写,然后按“重新检测”,支付注意某些特征字符只能检测一次后添加。这时,NBSI展示了ASC对半分析,接下来就是激动人心的一幕。
下面的操作大家都知道吧?我什至没有在这门课上扮演任何角色,但很难想象一个非常大的网站使用 Access 数据库;一个非常大的网站发布了一次,居然还有漏洞,真是难以想象;在管理员邮箱中找不到一个非常大的网站。难以想象……
