|
|
|
|
|
|
|
|
大学主页,浏览了一下,估计可以利用的漏洞不是很多,而且应该也没张三的个人信息,就在一筹莫展的时候,随便在www.google.com上搜索其所在中学名称,居然发现其所在的中学也已经有了自己的网站,打开其主页,发现新闻文章发布系统是采用asp系统,心中大喜,可能存在sql注入,再看其主页上居然还有一个自己学校建设的校友录版块,而且一看就知道肯定是采用网上那些免费的校友录程序的,看来此网站能够拿下的几率已经非常大了,等下就只需要确定张三是否在这个校友录上有注册,打开校友录中张三的中学班级,成员名单中显示他已经注册并登陆过,好,已经选顶了突破口,只要能够拿到这个网站的数据库,那么就可以拿到张三的密码,如果此密码和其在163.net上的邮箱密码一致,那么就大功告成,如果不同,那么也可以得到进一步信息。
先看首页的新闻系统,使用asp程序,随便打开一条新闻http://www.***.net/include/shownews.asp?id=453,在URL后面添加 and 1=1,居然没有报错,显然存在sql注入,拿出NBSI2,进行扫描,扫描结果如下:
图三页码:[1] [2] [3] [4] [5] [6] [7] [8] 第5页、共8页 |
|
|
|
|
设为首页 | 加入收藏 | 广告服务 | 友情链接 | 版权申明
Copyriht 2007 - 2008 © 科普之友 All right reserved |
