ASP.netサイトに侵入した経験と利用コードを添付します。


1、一般的に.netのウェブサイトに遭遇した場合、ユーザー登録の第一選択はアップロード判定の脆弱性を利用する。 加図オープニングGIF 89 A 無事に許しました。2番目は注入です。 はいid=xxの後に引用符をつけます " ' " 一般的には NBSIを用いる あD来SCAN BUGのページを発見することができますし、国内のほとんどはMSSQLデータベースを使っています。注入点を見つけてもloginから開始できます。 実はこの方法は現在の成功率は75%3ですが、検索型と間違った情報がない場合があります。 ここで押さえました。みんなはネットを見てもいいです。 検索型で入力した文章 運良く、データベースとWEBを一緒にして、直接検索にLOG文をバックアップします。 枠の制限文字を入力した場合 ローカルでPOSTフォームを作ってもいいです。WsockExpertでバッグをつかむこともできます。 search.aspxに対して後の値を分析して、注入文を入れてパスを取得するともっとうまくなります。 web.com figだけでいいです  コードは以下の通りです Web.C.onfig 設定ファイル -->    'ここはオフで失敗しました。 では、任意のファイル名の前にallyesno.aspxのようにする必要があります。 ~allyesno.aspxに変更します WEBの絶対パスを順調に獲得しました。http://allyesno.cnblogs.com/admin/login.aspx パスワードを入力したらエラーが戻ってきます。http://allyesno.cnblogs.com/admin/error.aspx 入力するならhttp://allyesno.cnblogs.com/admin%5Cindex.aspx検証を許すかもしれない。5、バックグラウンドの見逃し方:'or'=''or'='または'or'='or'='or'='or'or'