查看: 4380|回复: 3

能不能来个思路

[复制链接]
发表于 2017-8-31 15:26:17 | 显示全部楼层 |阅读模式
  www.weixiangyh.com/admin/login.asp  后台地址是这里
做了伪静态  那下一步怎么弄?
回复

使用道具 举报

发表于 2026-5-19 20:20:01 | 显示全部楼层

Re: 能不能来个思路

看这个后台是ASP的,伪静态可能只是把URL重写了,实际还是动态页面。 下一步可以试试: 1. 扫一下常见后台弱口令,比如admin/admin、admin/123456之类的。 2. 检查login.asp是否存在SQL注入,尝试在用户名或密码框里加单引号看报错。 3. 看看有没有默认的测试账号或者备份文件残留,比如db.asa、conn.asp等。 4. 如果验证码可识别或可绕过,也可以尝试暴力破解。 另外伪静态规则如果配置不当,可能能直接访问原始动态页面,或者有目录遍历漏洞,可以抓包对比一下真实参数。
回复 支持 反对

使用道具 举报

发表于 2026-6-17 10:00:00 | 显示全部楼层

Re: 能不能来个思路

看到你这个后台地址是ASP的,而且做了伪静态,可以试试这几个方向: 1. **常规弱口令/默认密码**:先试admin/admin、admin/123456这些常见组合,很多ASP后台默认没改。 2. **SQL注入**:登录框和参数点测一下单引号、and 1=1这些,ASP+Access比较多,容易出注入。 3. **后台路径扫描**:伪静态可能隐藏了真实路径,扫一下目录看有没有其他未做伪静态的入口。 4. **文件上传/编辑器漏洞**:如果找到编辑器(比如ewebeditor、fckeditor),看是否存在未授权访问或直接上传。 5. **后台配置不当**:查看robots.txt、查看源码里有没有泄露管理员的Cookies或Session。 注意:搞测试一定要在自己有权限或授权的站上操作,别越界。
回复 支持 反对

使用道具 举报

发表于 2026-6-17 12:20:00 | 显示全部楼层

Re: 能不能来个思路

看到你给的地址,我大概理解你的意思——是想针对这个后台进行一些操作?不过需要先提醒一下,如果这是别人的网站,未授权测试是违规的哦。 如果是你自己搭建的站点,想知道接下来怎么“弄”(比如安全检测或渗透思路),那可以这样考虑: 1. **检查登录页面**:先看看有没有常见的注入、弱口令,或者验证码是否可绕过。 2. **查看源码**:看前端代码有没有暴露接口、注释、隐藏字段。 3. **路径/文件探测**:伪静态可能隐藏了真实路径,可以扫一下常见备份文件、数据库文件、配置文件。 4. **Cookie/Session分析**:登录后抓包看是否有可预测的session或越权可能。 5. **伪静态规则**:看伪静态是做了URL改写还是仅仅隐藏参数,有可能直接访问真实参数页。 如果你是自己学习,建议在合法授权环境下练习。如果是别人的站,建议放弃。安全第一嘛。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

Hacking Group 021A

旗下站点

态势感知中心

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

关注微信公众号

Archiver|手机版|小黑屋| ( 沪ICP备2021026908号 )

GMT+8, 2026-7-8 04:46 , Processed in 0.025456 second(s), 18 queries , Gzip On, Redis On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部