如何破解aspx网站后台系统?
你当微软吃干饭的啊,想破解就破解?忘了密码就跟空间供应商联系呗,问他要登录密码就可以了嘛。
怎么入侵“htm”网站。
htm的还真不好入侵,看能解析ASP,ASPX,PHP,JSP等不,能的话看能不能上传,如果还不行只能旁注
怎么入侵ASPX网站
如果是局域网内的电脑可以尝试局域网渗透操作,或者说看看网站服务器是否存在漏洞相关,可以尝试一下。
入侵aspx站要用什么方法呢?
1.无论什么站,无论什么语言,我要渗透,第一件事就是扫目录,最好一下扫出个上传点,直接上传shell,诸位不要笑,有时候你花很久搞一个站,最后发现有个现成的上传点,而且很容易猜到,不过这种情况发生在asp居多!
2.asp(aspx)+MSSQL先考虑注入,一般的注入都有DBowner权限可以直接写shell;如果写不了,或者web与数据库分离,那就猜数据,从后台下手了,后台可以上传或者改配置文件;
3.asp(aspx)+ACCESS拿shell一般只有3种方法,一是前台上传或者注入进后台上传;二是注入进后台改配置文件;三是注入进后台备份数据库或者暴库后知道是asp或者asa数据库于是直接写一句话;
4.php+MYSQL一般是注入进后台上传,偶尔运气好些权限够高可以注入select into outfile;然后包含,分本地与远程,远程包含在高版本php是不支持的,于是想办法本地上传图片文件或者写到log里;然后php程序某某未公开的漏洞,运气好可以直接写shell。
5.jsp+MYSQL利用数据库拿权限方面基本同php,而且jsp的上传基本很少检查文件后缀,于是只要有注入点与后台,拿shell相当的容易。jsp+ORACLE的站我碰到的不多,碰到的也是猜出用户名与密码从后台下手的。
6.无论什么大站,主站一般都很安全(不然早被人玩了),于是一般从二级域名下手,猜出主站的某些用户名与密码或者搞到主站的源代码,或者旁注得到同网段服务器后cain或arp。
7.一般的大站很少有用现成的CMS的,于是如果你有幸找到源码,那你就发了,注入漏洞啊,上传漏洞啊,写文件漏洞啊,都掌握在你手里。多看看那些大站新出来的测试分站点,那些站还在测试中,可以很轻松拿下。
8.上传有个文件名截断,这包括2个方面,一是00截断,二是长文件名截断(曾经利用这个搞下hw);然后很多写文件的地方,都可以00,屡试不爽。上传别忘了.asp(当然.asa,.cer,.cdx都可以啦)目录的妙用。
9.php站无论windows还是linux,都有magic_quotes_gpc的问题,magic_quotes_gpc为on的时候,在server变量注入的时候还是可以select into outfile,今年我搞过某未开源cms就是这个情况,一般情况下为on就别考虑写文件了,不过有这个权限别忘了读文件源码,因为load_file的参数是可以编码的。
10.猜路径或者文件在入侵中非常必要,猜不到路径的时候别忘了google(baidu太烂,google很全),于是你可以考虑看站点下的robot.txt或者robots.txt,会有惊喜。
11.工具的使用很重要,入侵之前用WVS扫扫会有助入侵;注入工具虽然很多,但不见得都好使,现在的软硬防火墙、防注入越来越厉害,那时候你就别偷懒,多手工有助你成长。
12.遇到过一流监控么,遇到其他防post的防火墙么,有时候一句话进去了都无法传大马,那时候,你先学学编码,学学变换绕过。
13.想搞一般的小站,记得查看这个小站的版权,找做这个站的公司,然后从这个公司做的其他站下手,得到源码再回头搞,我曾经通过这个方法拿下某知名制药的公司站。
14.旁注的思路永远不过时,遇到dbowner的注入,可以很舒服写shell到你需要的站,省得麻烦的提权了;运气不好,按部就班拿shell提权得到你所需。
15.永远别忘记社会工程学,利用社工把自己当成一个什么也不会的人,从某某站长的qq,身份证,邮箱等等下手,也许有时可能会有意外;另外别忘记admin,admin;test,test;123456,123456这种简单的尝试,当然,你也可以暴力破解。
16.别忽视XSS,别忽视cookie,XSS可以偷cookie,更有若干妙用,自己学会领悟;cookie可以伪造登陆,cookie可以注入,cookie注入可以绕绝大多数的防火墙。
17.平时搞站多多搜集路径啊,源码啊,工具啊,充实自己的“武器”库;最好把自己的入侵步骤记录下来,或者事后反思下,我一般都是记在txt里,另外要做到举一反三。
18.多学习,多看源码,多看公布出来的0day,脚本是入侵的前提,而不是工具,会用工具会装B你还没入门。
最后奉劝诸位有事没事改人家首页的装B者,出来混,迟早是要还的,别等进了局子再后悔。还有一点,就是我搞N多站,没挂过一个马,至于很多挂马的人,我不知道该说什么,因为大家都喜欢钱,但是还是少为之吧。
ASPX网站入侵的方法
这就要看他网站的安全程度了,
你可以先从登录入口试试sql注入方法,
如果他没有防sql注入式漏洞的 进去彻底破坏下
用户名: 'or'1'='1'or'1'='1
密码: 1'or'1'='1
如果这个方法,不行的话,就要看其它方法,把漏洞,如上传小马等等方法来实现
但如果对方网站安全性太高了的话,要入侵有难度的
哪能下载到教程视频
自己动手建设个人网站
http://so138.com/so/so138.aspx?id=1236
Dreamweaver网站设计系列多媒体教程
http://so138.com/so/so138.aspx?id=2075
自己动手制作动态网站
http://so138.com/so/so138.aspx?id=1125
ASP.NET 2.0快速入门(12)-ASP.NET 2.0网站快速导航
http://so138.com/so/so138.aspx?id=2501
自己动手建设企业网站
http://so138.com/so/so138.aspx?id=1235
黑客视频教程-用旁注法入侵网站
http://so138.com/so/so138.aspx?id=1958
电子商务网站系统分析与设计(北京交通大学)
http://so138.com/so/so138.aspx?id=1594
电子商务 网站案例分析(北京交通大学)
http://so138.com/so/so138.aspx?id=820
自己动手建立个人网站
http://so138.com/so/so138.aspx?id=1196
完整的asp.net项目视频教程
asp.net项目视频教程可以到IT学习联盟下载。IT学习联盟5000GIT资源和10万IT源代码。
…………………………………………………………
如果对aspnet感兴趣,看看一个大专生怎么自学aspnet到找到工作。
先做个自我介绍,我07年考上一所很烂专科民办的学校,学的是生物专业,具体的学校名称我就不说 出来献丑了。09年我就辍学了,我在那样的学校,一年学费要1万多,但是根本没有人学习,我实在看不 到希望,我就退学了。
退学后我也迷茫,大专都没有毕业,我真的不知道我能干什么,我在纠结着我能做什么。所以辍学后 我一段时间,我想去找工作,因为我比较沉默寡言,不是很会说话,我不适合去应聘做业务。我想应聘 做技术的,可是处处碰壁。
一次偶然的机会,我才听到aspnet这个行业。那天我去新华书店,在计算机分类那边想找本书学习 。后来有个女孩子走过来,问我是不是读计算机的,有没有兴趣学习aspnet,然后给我介绍了一下 aspnet现在的火热情况,告诉我学aspnet多么的有前景,给我了一份传单,aspnet培训的广告。听了 她的介绍,我心里痒痒的,确实我很想去学会一门自己的技术,靠自己的双手吃饭。
回家后,我就上网查了下aspnet,确实是当今比较热门的行业,也是比较好找工作的,工资也是相 对比较高。我就下决心想学aspnet了。于是我去找aspnet培训的相关信息,说真的,我也很迷茫,我 不知道培训是否真的能像他们宣传的那样好,所以我就想了解一段时间再做打算。
后来,我在百度知道看到一篇让我很鼓舞的文章是一个aspnet高手介绍没有基础的朋友怎么自学入 门学aspnet,文章写的很好,包含了如何学习,该怎么学习。他提到一个方法就是看视频,因为看书实 在太枯燥和费解的,很多我们也看不懂。这点我真的很认同,我自己看书往往看不了几页。
我在想,为什么别人都能自学成才,我也可以的!我要相信自己,所以我就想自学,如果实在学不会 我再去培训。
主意一定,我就去搜索aspnet的视频,虽然零星找到一些aspnet的视频,但是都不系统,我是想找 一个能够告诉我该怎么学的视频,一套从入门到精通的视频,一个比较完整的资料,最好能有老师教, 不懂可以请教的。
后来我又找到一份很好的视频,是在IT学习联盟推出的一份视频《零基础aspnet就业班》(喜欢《 零基础aspnet就业班》的可以复制 sina.lt/bsjr 粘贴浏览器地址栏按回车键即打开)
下面介绍下我的学习流程,希望对和我一样完全没有基础的朋友有所帮助。
收到他们寄过来的光盘后,我就开始学习了,由于我没有什么基础,我就从最简单的C#语言视频教程 学起,话说简单,其实我还是很多不懂的,只要重复多看几遍,就能看懂。C#语言我差不多学了一个礼 拜,接下来我就学了winform,SQL Server,html/css/javaScript,差不多也就三个礼拜。我每天都在不 停的写一些简单的代码,这样一月后我基本掌握了aspnet的全部基础。
接下来开始学习aspnet高级课程,老师幽默风趣而又轻松的课堂教课,使我发现原来学习aspnet并 不是一件很难的事情。之前我把aspnet基础学得还不错,到了到了aspnet高级部分,我觉不又不是很 难,可能老师太牛了,他能把复杂的问题讲的比较通俗易懂,有些难点的地方我还是连续看了五六次, 把他弄懂。每天下午6点下班后,吃了饭,马上跑回家。看视频,买了几本笔记本。当时,为了编程还花几百元了台二手的台式电脑,配置一般,但编程是足够的。一边看视频,一边记笔记,把重点都记下来,还一边跟着老师敲代码,为了能尽早学会aspnet。每天都坚持学5-6个小时。经常学到晚上一点多才睡觉。星期六,日不用上班,每天7点多起床,学到晚上11,12点。那段时间特别辛苦,特别累。在学习aspnet的三个多月里,除了吃饭睡觉工作,剩余的时间都在学习,因为我知道自己的计算机基础不是很好,也没有学过什么计算机,相对于那些科班的人来说我要比他们付出更多的努力。我只能咬紧牙关,坚持下去,我不能放弃,我要完成我的梦想,我要让我的家人过上好日子。终于三个多月后我把aspnet教程里的内容和项目都学完了,在学项目的过程中我发现项目特别重要,他能把你学过的知识全部联系起来,能更好的理解你所学的知识。还有学习过程中,动手很重要,要经常跟着老师动手敲,动手吧,跟着做,一行一行的跟着敲,再试着加一些自己的功能,按照自己的思路敲一些代码,收获远比干听大的多。 如果遇到暂时对于一些思路不能理解的,动手写,先写代码,慢慢你就会懂了。
于是我就到51job疯狂的投简历,因为我学历的问题,专科没有毕业,说真的,大公司没有人会要我,所以我投的都是民营的小公司,我希望自己的努力有所回报。没有想过几天过后,就有面试了,但是第一次面试我失败了,虽然我自认为笔试很好,因为我之前做了准备,但是他们的要求比较严格,需要有一年的项目经验,所以我没有被选中。
后来陆续面试了几家公司,终于功夫不负有心人。我终于面试上的,是在闵行的一家民营的企业,公司规模比较小,我的职务是aspnet开发程序员,但我也比较满足,开的工资是3500一个月,虽然我知道在上海3500只能过温饱的生活,但是我想我足够了。我至少不用每天都要靠父母养,我自己也能养活自己的。我想只要我继续努力,我工资一定会翻倍的。
把本文写出来,希望能让和我一样的没有基础的朋友有信心,其实我们没有必要自卑,我们不比别人笨,只要我们肯努力,我们一样会成功。
…………………………………………
一个刚刚接触电脑的人想学编程,有1-2年时间,先学习什么
计算机编程
郭新明-FTP服务器体验式学习课程(张孝祥监制)
http://www.so138.com/so/so138.aspx?id=3997
ASP.Net快速开发新闻系统 在线播放
http://www.so138.com/so/so138.aspx?id=4708
数字电路基础[宁波电大]
http://www.so138.com/so/so138.aspx?id=774
计算机组成与汇编语言程序设计(赵丽梅)宁波电大
http://www.so138.com/so/so138.aspx?id=1242
操作系统(陈访荣)宁波电大 (在线播放)
http://www.so138.com/so/so138.aspx?id=4708
计算机网络(马敏飞)宁波电大
http://www.so138.com/so/so138.aspx?id=1243
ASP.NET 2.0快速入门(12)-ASP.NET 2.0网站快速导航
http://www.so138.com/so/so138.aspx?id=2501
Internet和Intranet应用(薛昭旺)宁波电大
http://www.so138.com/so/so138.aspx?id=1245
2004年电脑硬件安装调试维修视频教学讲授
http://www.so138.com/so/so138.aspx?id=4825
ASP.NET 高级排错技巧
http://www.so138.com/so/so138.aspx?id=768
SQL Server 2000管理专家系列课程
http://www.so138.com/so/so138.aspx?id=4832
开心三人行系列(2):使用Atlas 构建AJAX应用
http://www.so138.com/so/so138.aspx?id=2564
Visual Basic 2005开发技巧系列课程(4):
在Visual Basic 2005中使用.NET Framework 2.0新增功能
http://www.so138.com/so/so138.aspx?id=2526
SQL Server 2005 系列课程-使用ADO MD.NET开发SQL Server 2005 OLAP应用
http://www.so138.com/so/so138.aspx?id=2535
Visual Basic 2005开发技巧系列课程(1):使用My命名空间简化.NET Framework程序设计
http://www.so138.com/so/so138.aspx?id=2523
VB编程与应用(黄文)宁波电大
http://www.so138.com/so/so138.aspx?id=1245
Internet和Intranet应用(薛昭旺)宁波电大
http://www.so138.com/so/so138.aspx?id=1246
PHP视频教程从入门到精通(php mysql)
http://www.so138.com/so/so138.aspx?id=294
增强windows安全全集^
http://www.so138.com/so/so138.aspx?id=3621
SQL Server 2005 系列课程-SQL Server 2005与XML的紧密整合(下)
http://so138.com/so/so138.aspx?id=2531
SQL Server 2005 系列课程-SQL Server 2005与XML的紧密整合(上)
http://so138.com/so/so138.aspx?id=2528
Launch 2005系列课程(11):AMO与XML/A
http://so138.com/so/so138.aspx?id=2604
自己动手建设个人网站
http://so138.com/so/so138.aspx?id=1236
Dreamweaver网站设计系列多媒体教程
http://so138.com/so/so138.aspx?id=2075
自己动手制作动态网站
http://so138.com/so/so138.aspx?id=1125
ASP.NET 2.0快速入门(12)-ASP.NET 2.0网站快速导航
http://so138.com/so/so138.aspx?id=2501
自己动手建设企业网站
http://so138.com/so/so138.aspx?id=1235
黑客视频教程-用旁注法入侵网站
http://so138.com/so/so138.aspx?id=1958
电子商务网站系统分析与设计(北京交通大学)
http://so138.com/so/so138.aspx?id=1594
电子商务 网站案例分析(北京交通大学)
http://so138.com/so/so138.aspx?id=820
自己动手建立个人网站
http://so138.com/so/so138.aspx?id=1196