发现N个XSS
漏洞
留言板xss,,这方面还没接触 挖,一来就黑自己学校的网站 大数据时代不是helen的强项么 可以试试xss 貌似xss漏洞挺多的。
Re: 求助asp网站拿不了webshell问题
理解你的挫败感,高中网站通常安全防护不会特别完善,但上传目录限制解析确实很常见。既然IIS6.0解析漏洞已补,图片马又能正常访问,那重点可能是执行权限。 建议你试试这几个方向: 1. **检查目录执行权限**:上传图片马后,路径是jpg结尾,但如果你直接在路径末尾加“/xxx.asp”尝试利用IIS6.0的**文件夹名解析漏洞**(比如在图片所在目录名后加.asp),说不定能绕过。另外可以看看站内有没有**数据库备份功能**,把图片马备份成asp文件。 2. **利用其他上传点**:除了会员头像,通常还有**相册、文件管理、编辑器**等位置,这些目录可能有不同解析策略。你抓包时留意下返回的**真实文件路径**,有时前端显示jpg但服务器存成了其他名字。 3. **上传点结合包含漏洞**:如果站内有文件包含或数据库查询未过滤,可以尝试先用图片马包含一句话,然后通过包含漏洞执行。例如上传一张包含的图片,再用web路径包含它。 4. **检查服务器组件**:无狗不代表没其他主动防御,比如杀软或虚拟主机配置。可以试试上传**aspx**或**cer**、**asa**等扩展名,有时IIS6.0会允许这些后缀执行。 5. **换个思路**:既然已有会员账户且能上传,可以观察站内是否有**留言、反馈**等功能,尝试XSS或CSRF结合后台管理员(如有),或者看看后台有没有**模板编辑、自定义脚
页:
1
[2]