周末无事,我便跑去网吧上网,刚上线我爸就在QQ上发来一个DOC文件,说让我这个大学生翻译一下顺便考验我的英语水平。打开文档一看,原来是我爸爸厂里和一些企业的业务事项,其中很多材料都是英文的,哎,虽然本人刚过4级,但是翻了一会儿我也就想半途而费了。这个时候,我看到其中有一个装饰材料公司,我百度了一下这个公司的名字,发现这个公司在很多网站平台上都发布了广告,乱点几下,我不小心来到了本次入侵的目标——云南装饰信息港。
首先,当然要进行踩点啦。这个网站给我整体的感觉还是不错的,界面满友好的(如图1),
笔者发现主页上的文章链接一部分是html的静态网页,另外一部分则是aspx的动态网页,看来应该是asp.net构架的网站,无形之中这就比入侵纯asp的网站难度提高了。随便翻开一个动态aspx链接,地址是http://www.xxxxx.com/subpage/zygs/company_detai.aspx?id=1144,我不抱任何希望地在后面加上了一个',出错了,我的心头一整紧张和颤抖,再加上一个and 1=1,想不到居然和刚刚的出错页面是一样的(如图2和图3)!
我再仔细一看,晕,刚刚没有注意呢,出错页面的标题栏是“Input string was not in a correct format”,就是输入格式非法,试了下or 1=1,还是不行,防注入工作做得挺好嘛。看来走注入路线是不行的了,毕竟人家也是个大网站嘛,哪有这么容易就让你注入进去得到SA呢?
[1] [2] [3] [4] 下一页
[组图]某信息港的渗透入侵过程
您现在的位置: