请选择 进入手机版 | 继续访问电脑版
查看: 1033|回复: 9

希望有人能详细说明一些Web渗透方法

[复制链接]
  • TA的每日心情

    2016-2-20 11:24
  • 签到天数: 20 天

    [LV.4]偶尔看看III

    发表于 2016-1-28 22:44:36 | 显示全部楼层 |阅读模式
    本人实在有些地方弄不太清楚,希望各位指明学习方法和方向。

    如果是
    XX.asp?id=1
    这种有参数的可以尝试SQL注入。
    如果是
    有某些搜索型的并且输出到了HTML页面的或者留言板块等 过滤不严之处可尝试挖掘XSS漏洞。。

    如果有上传点的话,可以尝试截断%00.来更改后戳,或者审查元素来改变 上传图片的限制。

    但是在此有点搞不懂了。。。。
    如果一个页面是 HTML的话,那么应该如何去渗透啊?有数据库,但是又没有参数,我也没有什么办法控制参数。
    那岂不是如果用 html 页面的话,除了寻找一个上传点上传Webshell和找找XSS之外,在我的知识理解范围之内,感觉没有了什么办法了,我对这样的站至今束手无策。意思就是每次碰到一个html的页面的网站,我怎么都没法渗透进去。

    希望有大神告诉我一些还有什么渗透方法或者思路。
    回复

    使用道具 举报

  • TA的每日心情
    开心
    2017-3-31 18:33
  • 签到天数: 98 天

    [LV.6]常住居民II

    发表于 2016-1-28 23:33:57 | 显示全部楼层
    帮你顶帖,坐等大神来解答
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2020-8-21 18:52
  • 签到天数: 6 天

    [LV.2]偶尔看看I

    发表于 2016-1-28 23:51:58 | 显示全部楼层
    顶            

    评分

    参与人数 1i币 -4 收起 理由
    浮尘 -4 恶意灌水

    查看全部评分

    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    无聊
    2016-10-14 11:36
  • 签到天数: 98 天

    [LV.6]常住居民II

    发表于 2016-1-29 08:20:39 | 显示全部楼层
    如果是伪静态就还好,纯静态就基本很难

    点评

    如果是伪静态的话 应该如何还原呢?或者说有没有相关的资料呢?  详情 回复 发表于 2016-1-29 09:43
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2020-7-31 22:26
  • 签到天数: 88 天

    [LV.6]常住居民II

    发表于 2016-1-29 09:32:17 | 显示全部楼层
    问题不是很详细啊  伪静态的尝试去还原  成动态的  纯静态的我暂时不清楚了

    点评

    谢谢你的来信,伪静态的意思是,PHP写的后台然后生html是吗?  详情 回复 发表于 2016-1-29 09:42
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2016-2-20 11:24
  • 签到天数: 20 天

    [LV.4]偶尔看看III

     楼主| 发表于 2016-1-29 09:42:45 | 显示全部楼层
    国光nice 发表于 2016-1-29 09:32
    问题不是很详细啊  伪静态的尝试去还原  成动态的  纯静态的我暂时不清楚了
    ...

    谢谢你的来信,伪静态的意思是,PHP写的后台然后生html是吗?
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2016-2-20 11:24
  • 签到天数: 20 天

    [LV.4]偶尔看看III

     楼主| 发表于 2016-1-29 09:43:16 | 显示全部楼层
    caizi 发表于 2016-1-29 08:20
    如果是伪静态就还好,纯静态就基本很难

    如果是伪静态的话 应该如何还原呢?或者说有没有相关的资料呢?
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2020-7-31 22:26
  • 签到天数: 88 天

    [LV.6]常住居民II

    发表于 2016-1-29 10:22:58 | 显示全部楼层
    举个例子: 【伪静态注入点:http://www.test.com/news?id_13.html   你觉得这个伪静态实际链接可能是什么?】
    可以尝试还原 news.asp?id=13
    或者news.php?id=13具体的看网站是哪种脚本语言编写的网站  如果你还原 网站页面没有变化  那么代表你还原成功了

    点评

    谢谢你的举例,我想我大概知道了,不过伪静态只有这样一种格式吗?http://www.txt.com/new?id_13.html  详情 回复 发表于 2016-1-29 11:34
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2016-2-20 11:24
  • 签到天数: 20 天

    [LV.4]偶尔看看III

     楼主| 发表于 2016-1-29 11:34:26 | 显示全部楼层
    国光nice 发表于 2016-1-29 10:22
    举个例子: 【伪静态注入点:http://www.test.com/news?id_13.html   你觉得这个伪静态实际链接可能是什么?】 ...

    谢谢你的举例,我想我大概知道了,不过伪静态只有这样一种格式吗?http://www.txt.com/new?id_13.html
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2016-8-27 02:10
  • 签到天数: 50 天

    [LV.5]常住居民I

    发表于 2016-1-30 09:53:07 | 显示全部楼层
    伪静态的可以还原成动态,看到纯静态的也可以尝试一些组件上漏洞,也可以直接暴力美学对服务器开干,旁站也是一个思路。。。。。。balabala
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    快速回复 返回顶部 返回列表