看本宝宝手工注入沦陷某物流公司
本帖最后由 MrlinHACK 于 2015-12-25 13:11 编辑今天和老板吵架然后我把老板给炒鱿鱼了,本来心情就不是很爽这不看到一个人给我发了某物流公司的站,还能咋办呢?日啊,当然要日啊,必须日啊!好吧我承认我是想日这个站才日这个站的,和之前的没太大关系。
上来看了下注入点满天飞无奈正好最近在研究手工注入。
注入点http://www.saichenglogistics.com/about.asp?classid=70
看这个是asp脚本我就没多说啥了目测就是access数据库,所以呢我就没多想什么了,用“’;”测试是否为access数据库。结果如下:
返回错误由此可见是access数据库了我就用“order by”测试数据库里有几张表了。当然我先测试了20返回错误又测试了10返回还是错误。无奈我就测试下5返回成功,又加了1测试6返回又是错误,由此可见是5张表,破网站表怎么这么少。结果如下:
那么现在我已经知道了他这个网站有几张表现在我就来查询下这5张表中是否存在常见的“admin”表。测试语句自然是:“and 1=2 union select 1,2,3,4,5 from admin”那么这时候出现了2和3的查询字段点一看就知道存在这张呢表了。结果如下:
现在我们已经知道了2和3数字是用来查询字段的那么我就测试了一下“name”和“password”。那么结果就如下了,没用的话我就不多说直接看图吧。
现在大家都可以看到了用户名和MD5都出来了,我也进了下后台看看结果后台的编辑器坏了我也懒得去拿shell毕竟破网站没啥用。主要还是手工注入这一块这次做的比较OK可以说是一路绿灯了。 加油。。。。 你想开几个号啊? 楼主,这是什么浏览器啊,或者是什么插件啊,太神奇了:) 小圈圈 发表于 2015-12-25 19:50
你想开几个号啊?
8个咯主要是大号进小黑屋了 支持红客联盟
页:
[1]