时间:2018-05-20 来源:经典美文 点击:
asp文件用什么可以打开
ASP文件是一种服务器端动态脚本网页文件。即微软公司退出的ASP动态网页语言所保存的网页。并且ASP文件只能在支持ASP的服务器端执行。我说的是执行,而不是打开。
例如我们访问某个网址是:
怎样打开asp文件?asp文件用什么打开?
第一种:用记事本打开ASP文件是打开ASP的最简单的方法:
。
对该ASP文件点右键,选择打开方式,然后选择记事本即可打开。打开后你将看到一行行的代码行。如果你了解ASP语言可以对它进行修改。
第二种:使用dreamwear、FontPage等支持asp的网页编辑器打开。
先打开这些网页编辑器,然后选择打开,然后指定这个asp文件即可。当然在这里我们也可以对该ASP原文件进行相关编辑。
1 进入控制面板-->程序与功能-->点击左侧的"打开或关闭Windows功能"-->把"Internet信息服务"给勾上,点击"确定"后开始安装.(注意只要框子显示为蓝色即可,无法显示勾子
)
2 还是在"打开或关闭Windows功能"里面,再次安装IIS功能,在万维网服务-应用程序开发上勾选ASP。
3 安装完成后点击如下选项IIS管理器
4选择 Default Web Site,并双击 ASP 的选项,IIS7中ASP 父路径 是没有启用的,要 开启父路径,选择True,搞定父路径选项。父路径打开会使得安全性降低,但是初学者而言没有这个问题,如果不打开,可能无法正常浏览网站。
5 右击该网站,选择高级设置,设置物理路径,可以设为比如D盘的自己新建的文件夹
今天心情不错,曾经很想成为一名Hacker,学习服务器很久,今天收获颇丰,掌握SQL攻击access数据库的五条语句,绕过系统验证,侵入系统后台数据库,获得后台密码,侵入成功!!!时间2012年10月10号夜晚,地点实验室,hacker黄,现在我就把过程慢慢叙述下来,供大家学习。
实验平台,window xp,环境,asp加上access数据库,目标,侵入网站数据库,得到后台密码 。
得到密码就算成功率。此为目标,接下来为了大家看的更清晰就分为几步介绍本次实验。 第一部分 简单介绍
先说些别的,本文的攻击方法成为SQL注入,由于本人初次学习,所以本实验的攻击方法为手动输入SQL攻击asp网站。获得网站的登录权限。攻击网站首页如下
第二部分 搜寻网站SQL注入点
尝试几个有传入参数的页面,逐个测试是否有SQL注入漏洞,识别方法为:把网址栏的ID=***x加个号,或在表单输入号,如果提示表达式错误,表示有漏洞可注入,另外,通过这个方式可以得到程序所用的数据库类型。
点击北京链接会发现地址栏中出现了变量,直接在后面加入“’”返回错误,初步判断有注入漏洞。【index.asp】
进行验证是否存在SQL注入漏洞,验证方法如下:
在这里我们可以看到几条信息,第一错误信息上位JET database基本可以肯定为access数据库。第二出现字符串语法错误有可能存在注入漏洞。第三我们提交的字符串被单引号包含着说明是字符型。接下来利用字符型判断语句“' and '1'='1”和“'and '1'='2”测试。会发现“' and '1'='1”返回正确而“' and '1'='2”返回错误肯定存在注入漏洞。
第三部验证漏洞后通过SQL入侵得到用户名和密码
此处我们破解的流程如下:判断数据库表名—> 判断数据库列名—>判断列名字段个数—>字段猜解
下面沾出实验的五个语句,然后慢慢带着大家破解
测试数据库中字段长度
(select top 1 len(tel)from info)>10and'1'='1 猜测数据库中表
' and exists (select * from admin) and '1'='1
猜测数据库中字段子列
' and exists (select admin from info) and '1'='1
利用二分法猜测数据库中的信息条数
' and (select Count(1) from [info] where 1=1) between 0 and 100 and '1'='1
猜测数据库中值得代码
(select top 1 asc(mid(city,1,1))from info)>97and'1'='1
第四部分开始破解
1破解表名
在地址栏后加上' and exists (select * from 表名) and '1'='1
当常用表名输入info时系统返回正常图面如下
我们再随意输入一个表名“' and exists (select * from admin) and '1'='1”发现返回错误并且错误写着找不到输入表admin,这就说明不存在admin表但是存在info表。
2.破解列名
首先经过对表名的破解大家已经有了基础,还是破解列名的方法也是一样的如下 猜测列名语句
猜测数据库中字段子列
' and exists (select 列名 from info) and '1'='1
将列名换成username反馈正常判断有
username
接下来我们将列名换成admin发现反馈错从而判断有
username
按照同样的方法我们现在可以猜出有列名password
总结下,现在我们已经破解出来了表,info,列名username,列名password
3.破解列名的长度username
破解语句如下测试数据库中字段长度
(select top 1 len(字段名)from info)>数字Nand'1'='1
如上我们将字段名换成username数字N换成1.2.3.4.直到显示错误判断字段的长度
如下图当N=4时反馈正常,当N=5时反馈不正常,从而判断n=5所以username字段长度为
5
N=4反馈正常
如下N=5反馈不正常
总结下,现在我们已经破解出来了表,info,列名username,列名password
列名username长度5列名password长度2
4.破解username的内容
猜测数据库中值得代码
(select top 1 asc(mid(列名,N,1))from info)>mand'1'='1
如上述语句列名我们填写username,N分别写上1.2.3.4.5表示列名的位数,M表示列名位数N的asc的值, M为65-122. 如上述语句中主要的函数就是asc(mid(列名,N,1)反馈asc数值,理论不如行动
一般遇到lpt1.css.asp或com8.index.asp这类文件,都是黑客利用系统保留文件名创建的一些webshell。在Windows下不能以如下字样来命名文件或文件夹:
aux|prn|con|nul|com1|com2|com3|com4|com5|com6|com7|com8|com9|lpt1|lpt2|lpt3|lpt4|lpt5|lpt6|lpt7|lpt8|lpt9
但是可以通过cmd的copy命令实现:
D:rootkit.asp .D:前面必须有 .
已复制 1 个文件。
D:
2010-04-25 14:41 <DIR;
2010-04-25 14:41<DIR;
..
2010-03-08 22:50 42,756 aux.asp
2005-05-02 03:02 9,083 index.asp
2010-03-08 22:50 42,756 rootkit.asp
这类文件无法在图形界面删除,只能在命令行下删除:
D:.D:
然而在IIS中,这种文件又是可以解析成功的。Webshell中的 不死僵尸 原理就在这。
删除其目录的方法:
删除:在命令提示符下输入:rd x:你的文件夹名.. /s /q,回车即可
比如:D:/s D:
如何解决在IIS无法显示ASP网页?
步骤依次如下:
首先要启动IIS服务器:单击默认网站右键,选择启动,再按下面步骤依次进行 1、查看网站属性——文档
看看启用默认文档中是否存在:index.asp index.htm index.html (最好全都有,没有可添加)
2、查看网站属性——主目录
A、本地路径是否指定正确
B、勾选“脚本资源访问”
C、勾选“读取”?
D、执行权限:脚本和可执行文件
3、查看网站属性——目录安全性——编辑
A、勾选“匿名访问”
B、用户名:IUSR_您的计算机名(不对,就点浏览选择)【index.asp】
C、密码不用改,勾选“允许IIS控制密码”就可以了
D、其它不用选
4、查看网站属性——网站
A、IP地址:全部未分配 或者 选择一个
B、TCP端口:80 (最好不要改,改了访问方法就不一)
5、打开控制面板——管理工具——计算机管理——本地用户和组——用户
A、看看“IUSR_您的计算机名”此用户有没有启动,必须启动(说明:有红色的×表示没有启动)
B、看看“IWAM_您的计算机名”此用户有没有启动,必须启动(说明:有红色的×表示没有
启动)
C、在“IWAM_您的计算机名”该用户上按右键——设置密码(密码要记住,后面还需要用上该密码)
6、打开控制面板——管理工具——组件服务——组件服务——计算机——我的电脑——COM+应用程序
如果再打开COM+应用程序出现如图所示的错误时
方法如下:
(1)停止MSDTC服务:开始/运行/ stop msdtc
(2) 卸载MSDTC服务:开始/运行/msdtc -uninstall (注意msdtc与-uninstall有一个空格)
(3)重新安装MSDTC服务:开始/运行/msdtc -install(注意msdtc与-install有一个空格) 执行完后,
重新打开控制面板——管理工具——组件服务——组件服务——计算机——我的电脑——COM+应用程序(这时就不会出现上图的问题了)
A、在“IIS Out-Of-Process Pooled Applications”上按右键选择„属性‟——选择„标识‟,指定用户:IWAM_您计算机名(说明:可以点浏览查找);输入密码,密码与上面步骤的输入的密码保持一致。再次启动该服务,启动后它会动。
B、在“IIS In-Process Applications”上按右键选择„属性‟——选择„安全性‟,将„启用身份验证‟勾去掉
C、在“IIS Utilities”上按右键选择„属性‟——选择„安全性‟,将„启用身份验证‟勾去掉。 最后,就是测试asp文件了.
一、整体解读
试卷紧扣教材和考试说明,从考生熟悉的基础知识入手,多角度、多层次地考查了学生的数学理性思维能力及对数学本质的理解能力,立足基础,先易后难,难易适中,强调应用,不偏不怪,达到了“考基础、考能力、考素质”的目标。试卷所涉及的知识内容都在考试大纲的范围内,几乎覆盖了高中所学知识的全部重要内容,体现了“重点知识重点考查”的原则。
1.回归教材,注重基础
试卷遵循了考查基础知识为主体的原则,尤其是考试说明中的大部分知识点均有涉及,其中应用题与抗战胜利70周年为背景,把爱国主义教育渗透到试题当中,使学生感受到了数学的育才价值,所有这些题目的设计都回归教材和中学教学实际,操作性强。
2.适当设置题目难度与区分度
选择题第12题和填空题第16题以及解答题的第21题,都是综合性问题,难度较大,学生不仅要有较强的分析问题和解决问题的能力,以及扎实深厚的数学基本功,而且还要掌握必须的数学思想与方法,否则在有限的时间内,很难完成。
3.布局合理,考查全面,着重数学方法和数学思想的考察
在选择题,填空题,解答题和三选一问题中,试卷均对高中数学中的重点内容进行了反复考查。包括函数,三角函数,数列、立体几何、概率统计、解析几何、导数等几大版块问题。这些问题都是以知识为载体,立意于能力,让数学思想方法和数学思维方式贯穿于整个试题的解答过程之中。
http://m.gbppp.com/jd/446657/
推荐访问: