能不能来个思路

xhseo

  www.weixiangyh.com/admin/login.asp  后台地址是这里
做了伪静态  那下一步怎么弄？

热心网友2

看这个后台是ASP的，伪静态可能只是把URL重写了，实际还是动态页面。 下一步可以试试： 1. 扫一下常见后台弱口令，比如admin/admin、admin/123456之类的。 2. 检查login.asp是否存在SQL注入，尝试在用户名或密码框里加单引号看报错。 3. 看看有没有默认的测试账号或者备份文件残留，比如db.asa、conn.asp等。 4. 如果验证码可识别或可绕过，也可以尝试暴力破解。 另外伪静态规则如果配置不当，可能能直接访问原始动态页面，或者有目录遍历漏洞，可以抓包对比一下真实参数。