另类找注入点技巧
一般的注入点像我这种菜鸟都会用以下方式
1:手工测试下
2:用明小子或者阿D直接浏览页面找注入点
3:通过搜索引擎site:xxx.com inurl:php or asp 之类的
4:safe3 jsky之类的工具抓取连接后工具自动判断~~~ 方式1缺点:只能测试部分页面拉,有点看运气的感觉 方式2缺点:基本和第一个的缺点差不多,不全面,只能浏览部分页面 方式3缺点:搜索引擎收录有限哈,有些站甚至还没收录 方式4缺点:所说是模拟抓取页面链接,在检测,可实际上每次都那么早结束了,爬不完全站,有些站点还限制了这类软件爬行
今天给的思路是:
方案1:
1:自己本地架设个搜索引擎,蜘蛛的名字命名为“Baiduspider”(这样可以规避不少限制,也难被管理发现),
2:然后抓取目标站所需要的页面链接,如收录包含php?asp?这类页面的,避免收录html,htm
3:阿D浏览 本地site:xxx.com 注入点就源源不断的出来拉~~~~ 用此方法,上次成功拿到 世纪佳缘 点几个
用到的工具1:本地php+mysql环境,这个自己下吧~~到处有~~
用到的工具2:蜘蛛系统: 蜘蛛系统开源版本.rar (5.01 MB)
方案2:
原理差不多,没上面那个好~~~因为无法设置规避页面~~~
1:一款sitemap制作工具,模拟爬行全站,生成sitemap.html
2:本地搭建web环境,访问127.0.0.1/sitemap.html
3:阿D检测sitemap上的所有链接~~~
用到的工具1:本地asp环境,这个自己下个netbox吧
用到的工具2: 无限制的SiteMap制作工具.zip
有人找不到蜘蛛系统帐号密码哈~~~~登录密码和使用说明注意压 缩包内文本~~蜘蛛的登录密码和后台的登录是一样的~~
转载请注明来自WebShell'S Blog,本文地址:https://www.webshell.cc/2049.html