背景:

在2018年7月10号收到了一份邮件,竟然是标题是教务处邮件,如图:

服了,点进去果不其然这是一个钓鱼网站,我反正不会相信我大学能拿到奖学金的,并且都已经毕业快半个月了。然后想了想就想写一篇文章,出于对网络渗透这一方面,不过只是一种非常简单的渗透过程,并没有采用多么复杂的渗透技术,借助了kali linux操作系统的,这篇文章所做的只不过是比较老旧的渗透教程,并且只针对于asp页面。

正文:

首先说明一下,我只是想给对于网络渗透的有兴趣的同学,提供了一个简单的方法。并且可以快速的产生成就感,希望技术能力强的朋友为我这篇文章提出改正意见,谢谢。

这个实例我是借助了kali Linux这个操作系统的,并且运用了google hack,已经算不上运用个人能力进行一个网站的侵入。

环境:kali Linux;Google搜索引擎(Google hack)

这里就不贴图片了,测试网址需要自己寻找,最好完成之后,不要轻易动别人库,毕竟这是不好的。

使用google搜索: 公司 inurl:asp?id=。因为asp页面相比于现在所开发的页面比较老化,所以有一些固有的漏洞。这时可以看到许多超链接,那我们就胡编乱造一个网址 www.nishizhendepi.com:asp?id=X。

这时做三个步骤:第一步在网址后面加入英文字符:',会出现错误信息,并且可以提供给我们许多信息。

我们可以从这几行代码中判断渗透页面所用的数据库。第二步将网址X后面多余字符去掉,加上 and 1=1 ;当然这属于恶意字符,页面会显示正常。第三步将1变为2,这时会出现仍然报错。这时通过简单的手工测试我们可以判断这个站点存在漏洞的。

linux操作:

将网站链接粘贴,打开命令行,输入如下命令:

        sqlmap -u www.nishizhendepi.com.asp?id=X --dbs --current-user

这时如果正常的话sqlmap会提示一段话:所测网站数据库类型是什么类型,是否进行跳过其他数据库。如果你很确定他是这个数据库可以进行跳过。

如果id字段存在漏洞,在完成之前会提示id字段具有漏洞。我们可以从此次测试会发现,注入完成后会给我们许多参数信息,例如操作系统;数据库类型;Web服务器;Web应用。

这时打开命令行输入如下语句,表示检索存在的表名:

         sqlmap -u www.zhishishentou.com.asp?id=X --tables

然后得到表名,比较敏感的单词:admin、user、uname之类的,这是我们所要查询的表。

输入以下语句,这串命令大体意思就是我要得到这个表中所有的列名,进行列名拆解:

          sqlmap -u www.nishizhendepi.com.asp?id=X -T 表名 --columns

接下来输入以下命令行,列名可以有多个。

          sqlmap -u www.nishizhendepi.com.asp?id=X -T 表名 --C 列名,列名 --dump

这时就可以得到所需的数据信息。然后根据信息可进入网站的后台。

这就是这个渗透的全部过程,我发出来希望对这方面有兴趣的朋友可以进行这方面的入门,这个过程完全靠工具,基本没有技术能力。不过希望对于渗透这一块,朋友请保持自己的原则,画好标杆。谢谢阅读

很简单的网络渗透过程相关推荐

  1. 爬虫其实很简单!——网络爬虫快速实现(一)

    今天我来带领大家一起学习编写一个网络爬虫!其实爬虫很简单,没有想象中那么难,也许所有学问都是这样,恐惧源自于无知.废话不多说,现在开始我们的爬虫之旅吧. 爬虫是什么? 我们时常听说编程大牛嘴边一直念叨 ...

  2. 项目实习(五)网络渗透实验

    这是大学期间进行的生产实习内容,主要是进行一次简单的网络渗透测试. 实习的目的及任务 实习的目的 生产实习是实现理论知识和实践相结合的重要环节.通过实习,学生将对于课堂学习的基础和专业理论知识有更深入 ...

  3. i春秋题库之真的很简单

    题目:真的很简单 第一次模拟渗透测试记录 第一题:获取网站管理员的密码 第二题:获取网站后台目录名 第三题:获取管理员桌面flag信息 第一次模拟渗透测试记录 参考目录:[1]https://blog ...

  4. 【i春秋综合渗透训练】我很简单,请不要欺负我

    [i春秋综合渗透训练]我很简单,请不要欺负我 摸了几天的?了,主要是不知道该干嘛~~ CTF题目不想做,只想玩玩英雄联盟,玩玩渗透靶机这亚子! 个人觉得不能这样混下去了,于是又来到了i春秋,发现除了C ...

  5. android studio 制作表格_红爆网络的旅游排行榜视频制作其实很简单,赶快动手尝试...

    随着手机短视频的蓬勃发展,在网络上出现了多种类型的红极一时的爆款视频,这其中很具有代表性的一种就是排行榜视频,旅游领域的排行榜视频自然也少不了. 这些个排行榜视频看起来挺高大上,配上稍有激情的背景音乐 ...

  6. 无线网络渗透测试系列学习(二) - 在VMware中搭建Metasploit靶机的详细步骤以及端口的简单了解

    引言: 无线网络渗透测试系列学习目录: 无线网络渗透测试系列学习(一) - 在Windows系统下使用虚拟机安装Kali Linux操作系统 在上一篇文章中我们讲解了在Windows下如何在VMwar ...

  7. 语言都是相通的,学好一门语言,再学第二门语言就很简单,记录一下我复习c语言的过程。...

    语言都是相通的,学好一门语言,再学第二门语言就很简单,记录一下我复习c语言的过程. 为了将本人的python培训提高一个层次,本人最近买了很多算法的书. 这个书上的代码基本都是c语言实现的,c语言很久 ...

  8. 【结果很简单,过程很艰辛】记阿里云Ons消息队列服务.NET接口填坑过程

    Maybe 这个问题很简单,因为解决方法是非常简单,但填坑过程会把人逼疯,在阿里云ONS工作人员.同事和朋友的协助下,经过一天的调试和瞎捣鼓,终于解决了这个坑,把问题记下来,也许更多人在碰到类似问题的 ...

  9. 64位游戏找call_网络小游戏怎么修改技能满级,满血?教大家一个很简单的修改方法!...

    最近去忙着给小弟培训,都忘记上来发文章了,刚好小弟找了个小游戏练练逆向数据分析,下面就给大家讲讲他是怎么做到修改数据后,达到无限满血,全技能升级完的. 首先介绍几个概念: 网络游戏的变态功能的一般实现 ...

最新文章

  1. idea python-IntelliJ IDEA安装运行python插件方法
  2. hdu 1043 ,pku 1077 Eight ,八数码问题
  3. 26个导航设计非常独特的网站案例欣赏
  4. maven 加入json-lib.jar 报错 Missing artifact net.sf.json-lib:json-lib:jar:2.4:compile
  5. Error while retrieving the leader gateway. Retrying to connect to akka.tcp://flink@laptop:xxxx
  6. 蓝桥杯-组素数-java
  7. 【Tensorflow】TF中的字符串tf.string
  8. NASM汇编语言与计算机系统09-8086实模式的内存分配图
  9. 一篇文章彻底搞懂Android事件分发机制
  10. 14.段落排版--行间距(行高)
  11. Linux服务器中查询IP地址五个方法
  12. eclipse svn Subversive
  13. python 弹窗炸弹
  14. python:批量修改文件夹名称
  15. C++二进制数转十进制
  16. 【云驻共创】华为云数据库之大数据入门与应用(全)
  17. 阿里云商标查询小程序有用过的没?感觉还可以呀
  18. 等额本金计算公式解析
  19. php pdf文档内容修改,php2pdf-如何使用php修改pdf中的内容,并且保证格式不乱
  20. 红米5a手机html查看器,红米5A解锁BL教程_红米5A一键解锁的方法

热门文章

  1. 高铁未来发展前景超乎你的想象!
  2. Untiy CurvedUI 的使用的bug修正
  3. 不root运行linux,Android免root安装linux
  4. selenium如何定位选择题中value,选择C
  5. 少儿编程:python趣味编程第一课
  6. Laplace变换 含 数学物理方法(吴崇试 第三版)习题答案
  7. 生产用计算机房噪音应小于,小知识:机房环境基本要求
  8. 解决Windows与Linux双系统时间同步问题
  9. 【程序人生】让谷歌变得伟大的友谊:The Friendship That Made Google Huge
  10. 【雷锋网】网友亲历诈骗!安全专家详解:一个验证码如何让你倾家荡产