zoukankan      html  css  js  c++  java
  • 下载漏洞原理及利用

    原理

      http://ipo.snnu.edu.cn/shida/UploadFiles/indentAttFile/2012061222041778.doc

      http://ipo.snnu.edu.cn/down.asp?fileup=index.asp

      存在任意文件下载漏洞。

      在下载文件中找到数据库配置文件,查看得到数据库路径  数据库账户密码

      一般下载下来的文件比页面上显示的信息要多,是jsp,asp,php等信息。

      asp + access   -----mdb asa asp等信息

      mysql  server 数据库配置文件不允许被下载;

      一般看include文件,通过扫描器  扫描出一些敏感文件;

      wwwscan  御剑 /inc /data /include 可能数据库文件存放地方;

      一般命名为config  conn  common  inc  database  server  db。

      查看下载漏洞先回溯是否可能查找根目录;然后试试是否可以任意文件下载。

      不错的总结:http://h.evil.blog.163.com/blog/static/997935042012223112435259/

  • 相关阅读:
    Blocks to Cubes
    poj1113凸包
    AtCoder Regular Contest 078D
    Codeforces Round #400
    hdu2196树形dp
    Codeforces Round #409
    Codeforces Round #424
    hdu1520树形dp第一题
    Codeforces Round #412
    poj2823单调队列
  • 原文地址:https://www.cnblogs.com/blacksunny/p/5373528.html
Copyright © 2011-2022 走看看