文本内容:
入侵X站点的一点心得电脑资料:tyrant今天上午,一好友告诉我一个站点含有注入漏洞,并且把后台页面也暴露出来了,管理员用户名跟密码也是弱,居然用户是name,密码是name12345(注,NAME为我自己设置的,并非真实用户名)里面有数据库备份等操作,还有上传页面,但是我把ASP木马上传上去之后,却运行不了,直接显示该页无法显示,怎么回事呢?郁闷死啊我后来把asp后缀改为.jpg,但是居然直接把ASP木马的内容显示出来了,并没有运行成功,怎么办呢?第一次容许朋友,帮搞这个东西,平时,自己也不搞这些HACK东西,虽然对这些也经常关心,但是都是理论上的东西啊,看到数据库备份,我想,试试从这里,打主意吧,但是我把ASP木马作为备份的内容的时候居然直接提示,非法的文件!但是却把该网站的直接路径暴露了F:\XXXX\XXX.\W\****\.显然对数据库备份作了限制,怎么办啊突然想到利用特殊文件夹运行任何后缀的asp木马-,我在备份数据库的地方,把备份的文件夹改为mdb
6.asp,然后再利用注入漏洞,把MDB6JPG上传到这个MDB6ASP的文件夹下再次运行这个木马地址,OK成功!·利用特殊文件夹.asp.cer运行任何后缀的asp木马注意马的名字与文件夹要相同啊,只是扩展名不同模板内容仅供参考 。