大家好，我是网络刺客，qq:154030594  ,今天带来的动画是: 一步步挖asp漏洞

首先我们去网上下载一套程序。如源动力，站站长等网站 ，程序我先下好了，就以良精的程序为例吧 ，这套程序我自认为是漏洞最多，很适合新手学习的程序
本地搭建asp运行环境

一：上传  用到的工具,大马一头  查找木马-开始扫描 找上传漏洞 的时候,先找到上传, 然后直接访问,看是不是分配权限
 if session("AdminName")="" and session("UserName")="" then
这样就导致注册用户可以上传图片.这是良精程序的漏洞.通过本地上传就可以上传asp木马, 方法不演示了 ,自己看下以前的教程
其它上传的分析也是这样的, 如果不熟悉程序的话找到上传,然后用自己知道的方法,如抓包,伪造,本地上传等一个个去试吧.

二：注入  这个有两种方法. 一是直接看程序看带?参数的文件.

Aboutus.asp
/shownews.asp
只找这两个吧. 其它的自己分析.这套程序只要是带?的基本上都存在漏洞

Title=Trim(request("Title")) 直接带入查询,没有经过任何过滤  <!--#Include File="Check_Sql.asp"-->  是这个
再分析

id=cstr(request("id")) 也是直接带入查询的, 不过有防注入,request("id")用这种获取的方法会产生cookie注入的

javascript:alert(document.cookie="id="+escape("117 and 1=1"))
javascript:alert(document.cookie="id="+escape("117 and 1=2"))有cookie注入, 相应的注入方法看以前的教程吧
注入就分析这两个, 其它的自己分析吧.

三：后台 后台分析主要看上传. 才刚才 第一步都分析过了, 这里就不再分析了.
    再就看备份,一句话等.配置文件直接写入到不能使用本功能。<br>请直接修改“Inc/config.asp”文件中的内容
所以可以插入一句话

   数据库备份 有备份.测试可以备的
   有编辑器, 漏洞也可以利用
就分析这些吧..其它按以上方法大家慢慢分析吧.

   分析完程序后我们就可以按照分析出来的漏洞 , 然后去GG找关键字,拿同类型的站
四：关键字  inurl:Aboutus.asp?Title=联系我们  很多吧.   其它关键字大家自己发挥去.

教程就到这里吧.

-------------------------------------------------------------------------------------------------------------------
 群号：88185288 欢迎前来交流，盗qq号勿扰！