2011年2月21日
摘要: Part1:概念:脚本注入:通过把Sql 命令及语句插入Web表单提交或输入域名,页面请求的查询字符串,最终达到欺骗服务器执行特定的Sql指令的一种攻击方式。注入流程:判断脚本系统发现注入点,扫描注入漏洞,判断特殊注入点,判断数据库类型,数据库表中字段结构,构造注入数据惊醒注入,寻找管理员后台地址登陆,获得脚本系统完全管理权限。 通过后台获得webshell,获得整个服务器文件目录,下载整个数据库内容,修改服务器注册表,导入木马远程控制,创建管理员账户。销毁证据。(注:注入时候IE“显示友好错误信息”不选,chrome待查)转一篇其他文章:随着B/S模式应用开发的发展, 阅读全文
posted @ 2011-02-21 09:02 微笑着忘记 阅读(383) 评论(0) 推荐(0) 编辑