1.注入漏洞只能查账号密码?
答:只要权限广,拖库脱到老。
2.安全狗会追踪变量,从而发现出是一句话木马吗?
答:是根据特征码,所以很好绕过了,只要思路宽,绕狗绕到欢,但这应该不会是一成不变的。
3.access 扫出后缀为 asp 的数据库文件,访问乱码,**如何实现到本地利用?
答:迅雷下载,直接改后缀为.mdb。
4.提权时选择可读写目录,为何尽量不用带空格的目录?
答:因为 exp 执行多半需要空格界定参数
5.某服务器有站点 A,B 为何在 A 的后台添加 test 用户,访问 B 的后台。发现也添加上了 test 用户?
答:同数据库。
6.注入时可以不使用 and 或 or 或 xor,直接 order by 开始注入吗?
答:and/or/xor,前面的 1=1、1=2 步骤只是为了判断是否为注入点,如果已经确定是注入点那就可以省那步骤去。
7.某个防注入系统,在注入时会提示:
答:系统检测到你有非法注入的行为。
已记录您的 ip xx.xx.xx.xx
时间:2016:01-23
提交页面:test.asp?id=15
提交内容:and 1=1
8.如何利用这个防注入系统拿 shell?
答:在 URL 里面直接提交一句话,这样网站就把你的一句话也记录进数据库文件了 这个时候可以尝试寻找网站的配置文件 直接上菜刀链接。
9.上传大马后访问乱码时,有哪些解决办法?
答:浏览器中改编码。
10.审查上传点的元素有什么意义?
答:有些站点的上传文件类型的限制是在前端实现的,这时只要增加上传类型就能突破限制了。
更多关于“网络安全培训”的问题,欢迎咨询千锋教育在线名师。千锋教育多年办学,课程大纲紧跟企业需求,更科学更严谨,每年培养泛IT人才近2万人。不论你是零基础还是想提升,都可以找到适合的班型,千锋教育随时欢迎你来试听。
京公网安备 11010802030320号