游戏娱乐 新鲜速递 单机游戏 网络游戏 游戏秘技 手机游戏 游戏攻略 木马防范 流氓清除 设计专区 压缩解压 下载工具 P2P工具专区 输入法专区
站内搜索
电脑软件
编辑推荐
本类下载榜
总下载排行
本地下载
软件大小:5.5 MB高速下载
需优先下载高速下载器软件简介
asp网站漏洞扫描器是一款非常实用的ASP脚本网站扫描工具。集扫描和注射于一体,可以全面的扫描检测到网站中的漏洞。感兴趣的用户可以到jz5u来下载asp网站漏洞扫描器。
一:全站扫描
冰舞 V2.6,可以轻松的寻找到目标网站存在注射和爆库的URL。我们来介绍他的使用方法,打开冰舞,点击整站分析,OK了,在目标网站里输入需要探测的网站,或者URL。支持输入:http://www.xnec.cn 或则http://www.xnec.cn/displaynews.asp?id=102,http://www.xnec.cn/softdown/default.asp这样的URL
我们看下冰舞是如何工作的:
我们可以看到,“以下列表是可能存在注射漏洞的URL”,下面的列表里显示的是可以注射的地址,而“以下列表是可能存在爆库漏洞的URL” ,下面的列表里显示的是可以爆库的地址。
1) 注射漏洞
当我们获得到http://www.jz.cn/aspsky/list.asp?id=1951这样的地址
说明可以注射(下面的注射里会主要说到)
2) 爆库漏洞
当我们获得到http://www.xnec.cn/softdown/view.asp?id=3 这样的地址
说明可以爆库,我们手动替换最后一个/为%5c就可以测试效果,如我们输入
http://www.xnec.cn/softdown%5cview.asp?id=3
D:\xnzy\admin\ydxzdate.asa就是数据库的地址
我们需要注意下,可能http://www.xnec.cn/softdown/view.asp?id=3的数据库地址就是
D:\xnzy\softdown\admin\ydxzdate.asa
http://www.xnec.cn/softdown/admin/ydxzdate.asa
OK了,我们看到他做了不可下载处理,但是我们依然可以利用,在下面的注射的介绍里会具体说。
二:脚本注入
当我们上面获得了可以注射的URL后,我们双击列表里的URL,可以直接来到注射页面,也可以点脚本注入来到注射页面。
我们上面获得了http://www.jz.cn/aspsky/list.asp?id=1951这样的地址,这里手动在后面加and 1=1和and 1=2
我们看到如下2个页面:
http://www.jz.cn/aspsky/list.asp?id=1951%20and%201=1
http://www.jz.cn/aspsky/list.asp?id=1951%20and%201=2
看到没有?
共叙浓浓乡情 共谋发展大计这样字在and 1=2里没有:(,好了,这就是一个关键字。
我们在目标网站里输入http://www.jz.cn/aspsky/list.asp?id=1951
关键字填写为:共叙浓浓乡情
这里需要说下POST和GET的区别,POST是完美的探测,在服务器是没有留下任何信息的,而GET的速度比较快,但是没留下许多信息。我们建议,一般的用户设定为POST,这样比较安全嘛。
好了,我们点击探测漏洞,冰舞会对漏洞进行初步探测,来确定你关键字是否填写正确,并且判断数据库格式。
运行效果如图
我们看到,冰舞提示存在漏洞,并且判断数据库为ACCESS,这里会有2种数据库格式,ACCESS和SQL。无论数据库为什么格式,我们都可以用当前这个画面里的任何功能,而对于SQL,我们可以点击SQL注射进一步探测。
自动填写是否打上钩子,不点上,冰舞会跑完整个字典,在继续下一次探测,而点上后,一但出来结果,就立即跳到下一次探测。
这里我们用点上和不点上,来分别探测,好让大家看到他们不同的地方,有选择的去做,是提高效率与速度的做法。
我们点上自动填写,然后点击自动爆库。出现如图的效果
注意,他所有表都是自动写上去的。
而我们去掉自动填写,再次探测
当提示“猜管理员表工作结束!”的时候我们双击下面列表出现的admin,程序会自动添加到管理员表里,然后需要在次点击自动爆库。依次类推,我们可以完成整个探测。
OK了,关于红色的跨库,我们下面的文章会说到。
到这里我们完成了整个管理员数据库信息的探测,点击开始注入,我们就可以来探测,无论点不点上自动爆库,效果都是一样的:)
程序最后运行如图:
8|jzgov|jz3881133
格式:ID|帐号|密码
冰舞的探测工作已经全部结束!
这里获得的就是管理员的帐号密码。
继续上面的话题,什么是跨库?
我们上面获得了http://www.xnec.cn/softdown/view.asp?id=3
目标站的D:\xnzy\softdown\admin\ydxzdate.asa这样的数据库地址,但是如果它的http://www.xnec.cn/softdown/整个系统里并没有注射,而且数据库做了不可下载处理,怎么办?就这样放弃?不能,我们为什么不试验下他站里是否有其他可用的注射?好了,我们找到了
http://www.xnec.cn/displaynews.asp?id=68 这个可以注射的地址,填写各个参数,上面已经介绍了,这里需要注意下,红色的跨库里写D:\xnzy\softdown\admin\ydxzdate.asa
爆库,探测:)很简单,这不是个常用的功能,但是当入侵陷入绝望的时候,我希望大家能想到它:)
如果判断数据库为SQL?
我们点击SQL注射,直接选择POST,然后点探测
希望会自动完成所有信息,直到探测所有表结束。如图
我们如何探测字段?
比如我们要探测图片里的admin表,双击表里的admin,系统再次自动探测。
好了,出来了所有字段,我们要探测重要信息,比如只要探测id,username,passwd
双击字段里,你要探测的项目,系统会自动添加到探测字段里。双击探测字段里的项目,会自动删除所选的项目。
好了,一切完成后点击开始探测
怎么样?返回信息里就是我们探测的项目。是不是很方面
强制选择。有时候我们不需要冰舞来帮我们选择时候穷举,是否爆库,我们可以点上强制选择,在选择错误提示关闭还是开启。
SQL修改管理员密码,有时候我们探测到的密码为MD5不可逆加密,而且数据库格式为SQL,冰舞提供了直接修改,他不同与其他软件需要暴力,好了,当我们探测到如图的信息
注意数据库SQL,我们点SQL,在修改SQL注射,在“SQL修改管理员密码工具”里
我们先确定密码为几位加密,比如为16位MD5加密,我们要修改ID为168的管理员,输入用户名为你想要的名字,密码为你想要的密码,ID写上168,我们选上16位MD5,点上计算加密,等密码换算成16位后,我们点上开始注射:)呵呵,这样就成功修改了ID为168的管理员帐号密码,怎么样?还不快用你修改后的登入?
上面的文章为我们展示了冰舞给我们带来的奇妙世界,但是冰舞的功能不关关如此,有了管理员密码有什么用?我们要管理员后台登入啊?
三:探测后台
就是自动寻找管理员登,我们要找
http://www.wxjy.com.cn/xwzx/ReadNews.asp?NewsID=7294
这个系统的管理员登入,输入目标站为
http://www.wxjy.com.cn/xwzx/ReadNews.asp?NewsID=7294
点上深度探测,点开始探测
什么是深度探测?
比如要探测http://www.wxjy.com.cn/xwzx/ReadNews.asp?NewsID=7294
这样的URL,冰舞会先探测http://www.wxjy.com.cn/xwzx/
在探测http://www.wxjy.com.cn/,直到网站梗目录,是很完全的探测:)
如图我们找到了后台登入,直接在IE浏览器里打开URL,然后用你探测到的,或则修改后的管理员帐号密码登入吧:)
四:跨站列表
有时候自己的网站做的很安全,但是同服务器的其他网站呢?
冰舞加入这个功能,就是寻找其他站的上传漏洞,在通过跨站上传ASP木马,来入侵目标网站,他的操作很简单
打开后有个www.google.com将他修改为你要探测的站,比如www.20nt.net,点击获得IP,当IP出来后,我们发现查询域名数量为可点状态,点他,可以获得当前站的所有同服务器网站。
蓝小鸟免费版
拍摄美化|37.00M
泊安飞停车
生活实用|71.36M
笔趣阁楼
资讯阅读|20.54M
海量热门小说等你来阅读
钢琴智能陪练免费版
办公学习|160.19M
决斗吧
游戏辅助|72.47M
eye4手机版
生活实用|95.83M
Fastcopy(文件快速复制) 3.84(x32) 绿色汉化版
电子蚊香 第五代v2.0.0.8绿色版【夏天蚊子跑光光】
随机抽号软件|小飞侠随机抽取器(随机抽样) 6.5.5 绿色免费版
自动投票验证码刷票器v11.10绿色版_模拟手工操作快速投
电脑功率计算器PC Apex PSU Calculator v1.2汉化绿色版_计算电脑需要耗费电源量
免费电脑抽奖软件|飞翔晚会抽奖系统 v3.70绿色联想版
经纬度查询地点地理位置软件v2.0绿色版_查询地点经纬度位置
贝特之姓氏笔画排序080828中文绿色版【自动给汉字名单排序】
图特多开器1.00 Beta绿色版_实现多开QQ游戏大厅等程序
coreldraw x4注册机 V1.0 绿色版
电脑功率计算器v1.2绿色版_估算整台电脑耗电功率
护眼程序(保护您的眼睛) 绿色版
电脑电子琴软件(电脑弹电子琴)v1.0绿色免费版
保护眼睛的好工具:电脑护眼器 绿色版_调节眼睛肌体活动
随机数生成工具1.50绿色版_用于生成随机数
谈恋爱必备_情书宝典v5.35绿色版
玻璃钢生产厂家太原商场美陈批发兰州玻璃钢装饰造型定做北京玻璃钢垃圾桶制作铁岭玻璃钢垃圾桶制作云南玻璃钢种植池生产厂家内江玻璃钢摆件定制亳州玻璃钢树池定制萍乡玻璃钢茶几厂九江不锈钢家具厂家香港玻璃钢花钵多少钱随州玻璃钢花箱韶关玻璃钢树池坐凳定制四平不锈钢花盆定制吉林玻璃钢机械外壳制造珠海玻璃钢装饰厂家直销太原玻璃钢树池批发林芝玻璃钢花坛哪家好天津玻璃钢坐凳通化商业美陈制作林芝不锈钢家具多少钱重庆玻璃钢树池坐凳定做韶关玻璃钢花池定做阜新玻璃钢制品加工湖南玻璃钢公仔雕塑加工邢台玻璃钢花槽定做苏州玻璃钢花箱定制潮州玻璃钢外壳价格安庆玻璃钢花箱定做荆州玻璃钢花池制造乐山玻璃钢人物雕塑厂香港通过《维护国家安全条例》两大学生合买彩票中奖一人不认账让美丽中国“从细节出发”19岁小伙救下5人后溺亡 多方发声卫健委通报少年有偿捐血浆16次猝死汪小菲曝离婚始末何赛飞追着代拍打雅江山火三名扑火人员牺牲系谣言男子被猫抓伤后确诊“猫抓病”周杰伦一审败诉网易中国拥有亿元资产的家庭达13.3万户315晚会后胖东来又人满为患了高校汽车撞人致3死16伤 司机系学生张家界的山上“长”满了韩国人?张立群任西安交通大学校长手机成瘾是影响睡眠质量重要因素网友洛杉矶偶遇贾玲“重生之我在北大当嫡校长”单亲妈妈陷入热恋 14岁儿子报警倪萍分享减重40斤方法杨倩无缘巴黎奥运考生莫言也上北大硕士复试名单了许家印被限制高消费奥巴马现身唐宁街 黑色着装引猜测专访95后高颜值猪保姆男孩8年未见母亲被告知被遗忘七年后宇文玥被薅头发捞上岸郑州一火锅店爆改成麻辣烫店西双版纳热带植物园回应蜉蝣大爆发沉迷短剧的人就像掉进了杀猪盘当地回应沈阳致3死车祸车主疑毒驾开除党籍5年后 原水城县长再被查凯特王妃现身!外出购物视频曝光初中生遭15人围殴自卫刺伤3人判无罪事业单位女子向同事水杯投不明物质男子被流浪猫绊倒 投喂者赔24万外国人感慨凌晨的中国很安全路边卖淀粉肠阿姨主动出示声明书胖东来员工每周单休无小长假王树国卸任西安交大校长 师生送别小米汽车超级工厂正式揭幕黑马情侣提车了妈妈回应孩子在校撞护栏坠楼校方回应护栏损坏小学生课间坠楼房客欠租失踪 房东直发愁专家建议不必谈骨泥色变老人退休金被冒领16年 金额超20万西藏招商引资投资者子女可当地高考特朗普无法缴纳4.54亿美元罚金浙江一高校内汽车冲撞行人 多人受伤