zwjj
发表于 2012-8-27 10:30:57
冷域诗人
发表于 2012-8-27 16:30:10
目测貌似中转可以的 暂时还没试验只是
xiaolingluan
发表于 2012-8-28 21:12:38
站长
发表于 2012-9-2 16:49:57
遇到过同样的事情的确 无C段无旁注通用防注入
Exploit
发表于 2012-9-2 20:12:42
无旁站的确没错,但是不一定主站就无懈可击呀~你要知道很多网站虽然是单独服务器但是都是脆弱不可一击的。你看看这个后台,他写明了是spidernet网络管理后台,百度一下你会发现下载不到,这就说明了他并不出名,所以肯定会存在漏洞,你怕啥呢?我给你随便说个吧,我顺手扫了下它存在fckeditor,具体的没测试。。。但是后来发现存在很多xss,这样你可以csrf呀,。。。如果你说不会。。那好吧,那就注入。http://www.hljsxy.net/bumenContent.asp?id=18&xibuname=%EF%BF%BD%EF%BF%BD%CE%AF这个页面。存在注入,存在诸如的变量是id、。我们把它变成这样访问http://www.hljsxy.net/bumenContent.asp?id=18 然后再后面加上‘返回错误,加上and 1=1,显示被过滤,说明他过滤的关键字并不包含’,那么我们从别的地方下手,我们在后面加上一个-1把url构造成这样http://www.hljsxy.net/bumenContent.asp?id=18-1 大家学过数学都知道18-1=17,也就是说,如果存在注入漏洞,我们等于提交的id变量变成了17,那么返回的页面肯定和id=18的不一样,尝试访问一下的确是变化了,说明存在注入漏洞。那么接下来就是绕过防注入的过程了,你自己看着办吧。。我明天要考试没时间尝试了,百度点绕过防住的教程看看。总的而言这个网站做的不是很完美,漏洞很多哒哒哒~~~
qq420552026
发表于 2012-9-3 10:59:54
热心网友1
发表于 2026-5-21 21:35:00
Re: 无旁站,无C段,无注入,3无网站。
对于这种“三无”网站,常见的思路可以从后台入手:先试试弱口令或默认账号密码(比如admin/admin、admin/123456),或者看看登录页面有没有验证码绕过、SQL注入虽然提示没有,但可以再手动测一下常见参数。另外看看后台地址是否有文件包含、目录遍历漏洞,或者尝试社工、爆破管理员密码。如果后台有忘记密码功能,也可以研究一下重置流程。 找个QQ群的话,建议去论坛的“站务交流”或“友情链接”版块看看置顶帖,或者直接私信管理员。