摘要:
目标:学会抓取上传的数据包文件,并用工具进行修改,学会使用NETCAT(简称NC)提交数据包以及使用工具抓取数据包 要点:我们的电脑被称为客户端,网站称为服务端,上网从网站上获取信息,或者向网站上提交信息,其根本都是客户端和服务端之间信息传递的过程,这个过程以数据包的形式实现的,如果能够抓取到提交的数据包,并进行修改,则可以达到改变在服务器上生成的结果的目的.对数据包进行修改后提交达到攻击的目的,其中一个精典的应用是对上传数据包的修改绕过在服务端的过滤,直接上传脚本木马获得WEBSHELL.首先登陆网站,进入上传页面,用抓包工具选中IE中的这个页面,上传ASP木马,这一次的上传是会失败的,因为 阅读全文
摘要:
目的:掌握基础的VBS脚本,“改变”木马后缀名不引起警觉,他点击木马后会先运行一段我们装备好的素材,音乐或图片,然后才执行木马 诱骗对方运行木马前工作:根据需要准备一款木马,一个ICO图标文件(媒体文件,图片文件的图标),安装WINRAR,一个素材文件(一段动画,一首MP3,或一张图片都可以) 操作步聚:1、将用来迷惑目标的素材压缩成为RAR文件.并将脚本文件,木马添加其中2、加入再点击功能按钮的自解压模式选项,再选择高级自解压选项3、在常规选项中,设解压路径为%systemroot%\system32\解压后运行设为我们的脚本4,在模式选项中,设置安静模式为全部隐藏,覆盖方式为覆盖所有文件5 阅读全文
摘要:
知识要点:最常见几种脚本类型:PHP,ASP(ASPX),JSP,常见WEB服务程序:Microsoft IIS,Apache,常见数据库服务程序:ACCSECC,MYSQL,MSSQL,Oracle网站脚本,WEB服务程序.数据库服务程序常见的组合包括: PHP+Apache+MYSQLASP+Microsoft IIS+ACCSECC ASP+Microsoft IIS+mssqlASPX+Microsoft IIS+MssqlJSP+TOMCAT+Oracle(比较少见) 上面列举的搭配只是最常见并不是绝对,例如也有PHP+Microsoft IIS+MSSQL判断方法,一、通过后缀判定 阅读全文
摘要:
学习目标:掌握手工ACCCESS注入的方法,几个常用语句的使用学习要点:ACCESS数据库的注入与MSSQL不同,要得到表名,字段,以及字段的内容不能用MSSQL"暴"的方法直接得到(什么是"暴"以后在戒绍MSSQL注入时会介绍),ACCESS只能用猜解出表名和字段,然后再猜解出字段的长度,最后把字段的内容从第一位到第N位一个个猜解出来,采用的猜解方法类似玩一个游戏猜大小,比如一个数字,猜是否大于100如果不是,刚猜是否大于1,如果为正确,那么再猜是否大于50,如果正确,则再猜是否大于80,一直这样猜下去,这种猜解字段内容的方法,被称为"折半猜 阅读全文