全网AI资源网站搭建

电脑端+手机端+微信端=数据同步管理

免费咨询热线:13114099110

ASP网站漏洞扫描工具使用方法,共叙浓浓乡情共谋发展

发布时间:2023-10-29 10:05   浏览次数:次   作者:派坤优化

ASP网站漏洞扫描工具是一款针对ASP脚本网站的扫描工具。 它结合了扫描和注入,可以全面发现目标网站的漏洞。 完美下载站提供ASP网站漏洞扫描工具的免费下载。

如何使用ASP网站漏洞扫描工具

1:全站扫描

Ice Dance V2.6可以轻松找到存在注入和数据库爆炸的目标网站的URL。 我们来介绍一下如何使用它。 打开冰舞,点击全站分析,确定,输入目标网站中需要检测的网站或网址。

让我们看看冰舞是如何进行的:

我们可以看到“下面的列表是可能存在注入漏洞的URL”,下面的列表显示了可以注入的地址,“下面的列表是可能存在数据库爆炸漏洞的URL”,下面的列表显示了一个可以爆炸数据库的地址。

1)注入漏洞

当我们得到这样一个地址时

可以注入指令(下面的注入中会重点提到)

2)数据库爆炸漏洞

当我们得到这样一个地址时

说明库可以炸了。 我们可以手动将最后的/替换为%5c来测试效果。 例如,如果我们输入

D:\xnzy\admin\.asa 是数据库的地址

我们需要注意,可能数据库地址是

D:\xnzy\\admin\.asa

OK,我们看到已经变成了不可下载,但是我们还是可以使用的,这个会在下面的注入介绍中详细讲解。

二:脚本注入

我们获得了上面可以注入的URL后,双击列表中的URL就可以直接进入注入页面,也可以点击脚本注入进入注入页面。

我们在上面得到了这样一个地址。 这里我们手动在末尾添加 and 1=1 和 and 1=2。

你看到了吗?

and 1=2:(,嗯,这是一个关键词。

填写关键词为:分享浓浓乡愁

这里需要说一下POST和GET的区别。 POST 是完美的检测并且不会在服务器上留下任何信息,而 GET 速度更快但不会留下大量信息。 我们建议一般用户设置为POST,这样更安全。

好的,我们点击检测漏洞。 冰舞会对漏洞进行初步检测,以确定您的关键字是否填写正确并确定数据库格式。

运行效果如图

我们看到冰舞提示存在漏洞,数据库判断是。 将有两种数据库格式,以及 SQL。 无论数据库是什么格式,我们都可以使用当前屏幕中的任何功能,而对于SQL,我们可以点击SQL注入进行进一步检测。

是否勾选自动填充功能,如果没有勾选,冰舞会遍历整个字典,继续进行下一次检测。 点击后,一旦结果出来,就会立即跳转到下一个检测。

这里我们用on点和off点分别检测,这样大家就能看到他们的差异,有选择性地去做,这是一种提高效率和速度的方法。

我们点击自动填充,然后点击自动爆炸。出现如图所示的效果

请注意,他的所有表格都是自动写入的。

我们删除自动填充并再次检测

当提示“猜管理员表工作结束了!”时我们双击下面列表中出现的管理员。 该程序会自动添加到管理员表中,然后需要再次点击才能自动爆炸数据库。 以此类推,我们就可以完成整个检测了。

OK,关于红十字仓库,我们下一篇文章再讲。

至此,我们就完成了整个管理员数据库信息的检测。 点击开始注入,我们就可以检测到了。 无论我们是否点击自动爆库,效果都是一样的:)

程序最终运行效果如下图:

8|jzgov|

格式:ID|账号|密码

冰舞的探测工作已经完成!

这里获取的是管理员的账号密码。

继续上面的话题,什么是跨数据库?

目标站点有一个数据库地址,如D:\xnzy\\admin\.asa,但如果它的整个系统没有被注入,数据库无法下载怎么办? 放弃吧? 不,我们为什么不测试一下他的站是否还有其他注射可用?好吧,我们找到了

对于这个可以注入的地址网站漏洞扫描器,填写各个参数,上面已经介绍过了。 这里你需要注意。 在红十字库中写入D:\xnzy\\admin\.asa。

数据库爆炸,检测:)很简单。 这不是常用的功能,但是当入侵绝望的时候,希望大家能想到:)

如果判断数据库是SQL怎么办?

我们点击SQL注入,直接选择POST,然后点击检测

希望所有的信息都会自动补全,直到所有的表都被探测完毕。如图

我们如何检测字段?

比如我们要检测图中的admin表,双击表中的admin网站漏洞扫描器,系统会自动再次检测。

好了,现在所有字段都出来了,我们需要检测重要信息,比如只检测id,,

在字段中双击需要检测的项目,系统会自动将其添加到检测字段中。 双击检测字段中的项目将自动删除所选项目。

好了,一切完成后,点击开始检测。

这个怎么样? 返回的信息就是我们检测到的物品,是不是很实用呢?

被迫的选择。 有时候我们并不需要Ice Dance来帮助我们选择是否耗尽数据库。 我们可以点击强制选择,关闭或打开选择时的错误提示。

SQL更改管理员密码。 有时我们检测到的密码是MD5不可逆加密的,数据库格式是SQL。 提供直接修改。 它与其他需要暴力破解的软件不同。 好了,当我们检测到密码如图信息所示

注意数据库SQL。 我们点击SQL,在“SQL更改管理员密码工具”中修改SQL注入

我们首先确定密码的加密方式,比如16位MD5加密。 我们需要修改管理员ID为168,输入你想要的用户名,密码你想要的密码,ID写168。我们选择16位MD5,点击计算加密,密码转换后为16位,我们点击开始注入:)哈哈,这样,ID为168的管理员账户的密码就修改成功了。 这个怎么样? 为什么不赶紧用修改后的版本登录呢?

上面的文章给我们展示了冰舞给我们带来的精彩世界,但是冰舞的功能却并不是那么密切。 有管理员密码有什么用? 我们需要管理员登录后台吗?

四:跨站列表

有时你自己的网站很安全,但同一服务器上的其他网站呢?

冰屋添加此功能是为了查找其他站点的上传漏洞,然后通过跨站点上传ASP木马的方式入侵目标网站。 他的操作非常简单。

打开后,可以将其更改为您要检测的站点。 例如,点击获取IP。 当IP出来后,我们发现查询域名的数量是可以点击的。 点击它可以获取当前站点同一服务器上的所有网站。

您的项目需求

*请认真填写需求信息,我们会在24小时内与您取得联系。