CONN暴库怎么用

jupiter418 2009-07-26 09:17:59

我是小菜一个,虽然翻了很多资料还完全弄不懂CONN暴库的具体步骤,请问CONN到底是什么东西,怎么可以搬来搬去的,
这是BAIDU里查到的内容:
------------------------------------------------------------------------------------------------------
我们再来ＡＳＰ系统一个盗帅的例子
提交
_ http://localhost/2222/db/user.asp
得到如下结果：Microsoft JET Database Engine 错误 '80004005'
'I:\盗帅下载程序 V2.0 正式版\db\db\daidalos.mdb'不是一个有效的路径。确定路径名称拼写是否正确，以及是否连接到文件存放的服务器。
/2222/db/user.asp，行 6
--------------------------------------------------------------------------------------------------------

请问user.asp是必须真实存在的文件吗？如果是的话，那暴库的前提岂不是要首先知道user.asp，及user.asp的具体位置？

...全文

175 4 打赏收藏转发到动态举报

写回复

4 条回复

切换为时间正序

请发表友善的回复…

发表回复

jupiter418 2009-07-26

打赏
举报

回复

我在自己电脑上测试，直接输入http://localhost/conn.asp总是显示空白，这是为什么？

conn.asp里面没有使用on error resume next，请看conn.asp全部代码：

<%
dim Db,sessionvar
Db="data/j1qj.asa" '数据库连接地址
sessionvar="j1qj04157788" '设置变量，变量不可以为NO，否则后台无法登陆
%>

lzp4881 2009-07-26

打赏
举报

回复

user.asp是数据库连接文件。
很多网站都是把数据库连接文件写成conn.asp放在inc文件夹下面。所以你可通过猜，直接输入http://wwww.xxx.xx/inc/conn.asp这样就可以爆出数据库的存放位置和文件名。
不过，使用这个漏洞两个前提，一是conn.asp里面没有使用on error resume next，很多人在设计程序的时候都把这句注释掉了，正式发布后忘了改回来，所以就会有这个漏洞。
还有一个前提就是数据库的连接方式....

后面我不说了，你自己去测试.

一把编程的菜刀 2009-07-26

打赏
举报

回复

省了吧，现在还有几个服务器能暴库的
再说像这种非法行为别人愿意教你

xlxcn 2009-07-26

打赏
举报

回复

conn.asp只有conn.asp在两级以下目录中才有用。
conn.asp在根目录下无法暴库。

ASP脚本攻防手册.doc 废话少说，下面我们正式开始我们的脚本攻击之旅！（一）暴库一般而言，我们要获取一个站点的shell，必须先获得对方的后台管理权限，要获得对方的管理权限当然先要得到对方的管理员用户各种密码了！得到对方管理员用户各种密码的方法有很多，最方便的当数暴库了。常见的暴库方法有conn.asp法和%5C大法，不知道是什么东东啊？没关系，往下看你就知道了。

软件介绍粑粑留言本是由粑粑工作室龚礼仪个人开发所得。最终解释权归龚礼仪个人所有。本留言本系统采用asp access数据结构，使用方便，无需安装，放到服务器空间即可使用。独立皮肤文件，皮肤文件放到skin文件夹中。拥有50多个超级漂亮的头像可供选择。本留言本程序简单，操作简单方便，适合二次修改开发。管理员可以后台设置留言本，配置留言本名称，留言本标题，以及更换留言本皮肤功能，以及更换管理员密码。修正留言本分页存在的问题，增加css,是分页看起来更加美观。增加留言本数据初始化功能，方便管理员一次清除所有留言。默认管理员账号:admin 管理员密码:admin888 请登陆后及时修改密码。拥有良好的安全性。采用数据防注入。过滤特殊代码。 2009.4.5安全更新版本更新至2.1版 1.数据库增加防下载代码。即使找到数据库路径也不能下载数据库。 2.增加MD5文件，管理员密码用md5加密。保障密码安全性。 3.修复管理员无法修改密码的问题。 4.修改数据库连接文件，防止暴库。 5.更改数据库名字，数据库名称变复杂。 6.修复删除公告之后无法添加公告问题。更新文件 include/ 增加md5.asp include/ 修改conn.asp data/ 更改数据库名字。数据库里面添加放下载代码 admin_password.asp 修改管理员密码修改问题。 admin_gonggao.asp 管理公告。 gonggao.asp 公告。

（1）会员注册及登录模块为了确保交易信息的有效性和网站功能拓展，购物网站需要以会员机制运作，浏览者必须成为会员，才能够在网站中购物。该模块通过与浏览者的交互，记录浏览者的基本信息，通过后台审核确定其信息的有效性。（2）商品分类展示模块商品分门别类、分层次展示不仅方便浏览者迅速找到自己的目标商品，同时增强了网站的亲和力。该模块是浏览者与网站接触最频繁的部分，要突出用户性和流程性。（3）商品信息检索模块信息检索是网站提供给消费者最基本的商品搜索工具，该功能可以根据商品特点细化，充分照顾浏览者的使用方式。（4）购物车模块是一个人性化的工具，浏览者对于中意的商品，在购买前临时存放在购物车中，并可以随时增减购物车中的商品种类和数量，以提高购物效率。（5）生成订单模块浏览者购物完毕，系统会引导其进行结账，在选择好结账方式后，系统会自动生成并交给客户一个唯一的订单号。（6）订单查询模块客户可以根据自己的订单号，通过专门的入口跟踪订单的处理情况。（7）商品排行模块最新商品,销售排行,关注排行,推荐商品,特价商品,最新定购等,让客户一幕了然,非常方便的查看兴趣产品（8）反馈留言模块完善的客服功能，客户可通过反馈表或网上调查表中提出对产品的看法建议等，（9）商品品牌展示模块商品分门别类、分层次展示不仅方便浏览者迅速找到自己的目标商品，同时增强了网站的亲和力。该模块是浏览者与网站接触最频繁的部分，要突出用户性和流程性。（10）商品类别管理模块我们在网站中所看到的商品分类不是固定的，后台管理员可以根据自己商品种类的变化来对目前的分类进行编辑修改，比如是否需要增加产品大类？是否需要删除某个产品小类？（11）商品管理模块如果说商品类别管理确定了网上商品的结构框架，那么本模块则为这些框架增加内容，将商品按照预定的类别进行归类编辑，比如某类产品是否新到商品需要添加？某些商品已经过季，是否需要撤掉？（12）会员管理模块该模块负责前台注册会员的信息审核，对于有效信息，网站准许其成为会员并购物；否则可以进行清理。同时该模块存储了会员的信息及购物纪录，是一个非常有价值的客户信息库。（13）定单管理模块跟踪并记录订单情况，包括新订单提醒、订单处理纪录、订单查询及阶段性订单统计等功能。（14）新闻管理模块该模块主要是管理前台网站发布的各种站内外的新闻、产品信息等。（15）后台蜘蛛模块。该模块主要是统计搜索引擎对网站的收录，便于统计。全面的安全性处理（1）数据库防下载处理（2） CONN防止暴库处理（3）防止跨站脚本攻击（4） SQL注入式攻击防范（5）禁止脱机浏览工具浏览（6）后台登陆采用验证码验证（7）会员密码采用MD5方式加密（8）防范未知IP访问及软件攻击（9）管理员密码采用MD5方式加密（10）过滤sql注入代码及HTML代码防护（11）进行数据来源安全性监测，跨站脚本防范（12）管理员登陆日至记录，非法操作代码日至记录后台登陆账号：admin 密码:admin 登陆地址/admintouch/login.asp

索特网上购物商城是国内最先进的购物系统(支持IPAY网上支付) 官方网站地址：http://www.ssort.com E-mail:ssort@126.com 它的特点：采用asp+fso技术; 傻瓜式的程序安装和调试; 用户无需考虑系统的安装维护;美观、友好的展示铺面; 设计中应用了多种网络安全技术; 顾客可以方便的查询并订购商品; 用户可以方便的定义各种商品信息; 系统选用强大的数据库保存各类信息; 系统支持多种浏览器; 功能模块清晰实用强大; 系统有着良好的扩充性和升级性; 强大的在线支付系统和订单系统; ●前台功能介绍（1）会员注册及登录模块为了确保交易信息的有效性和网站功能拓展，购物网站需要以会员机制运作，浏览者必须成为会员，才能够在网站中购物。该模块通过与浏览者的交互，记录浏览者的基本信息，通过后台审核确定其信息的有效性。（2）商品分类展示模块商品分门别类、分层次展示不仅方便浏览者迅速找到自己的目标商品，同时增强了网站的亲和力。该模块是浏览者与网站接触最频繁的部分，要突出用户性和流程性。（3）商品信息检索模块信息检索是网站提供给消费者最基本的商品搜索工具，该功能可以根据商品特点细化，充分照顾浏览者的使用方式。（4）购物车模块是一个人性化的工具，浏览者对于中意的商品，在购买前临时存放在购物车中，并可以随时增减购物车中的商品种类和数量，以提高购物效率。（5）生成订单模块浏览者购物完毕，系统会引导其进行结账，在选择好结账方式后，系统会自动生成并交给客户一个唯一的订单号。（6）订单查询模块客户可以根据自己的订单号，通过专门的入口跟踪订单的处理情况。（7）商品排行模块最新商品,销售排行,关注排行,推荐商品,特价商品,最新定购等,让客户一幕了然,非常方便的查看兴趣产品（8）反馈留言模块完善的客服功能，客户可通过反馈表或网上调查表中提出对产品的看法建议等，（9）商品品牌展示模块商品分门别类、分层次展示不仅方便浏览者迅速找到自己的目标商品，同时增强了网站的亲和力。该模块是浏览者与网站接触最频繁的部分，要突出用户性和流程性。（10）商品类别管理模块我们在网站中所看到的商品分类不是固定的，后台管理员可以根据自己商品种类的变化来对目前的分类进行编辑修改，比如是否需要增加产品大类？是否需要删除某个产品小类？（11）商品管理模块如果说商品类别管理确定了网上商品的结构框架，那么本模块则为这些框架增加内容，将商品按照预定的类别进行归类编辑，比如某类产品是否新到商品需要添加？某些商品已经过季，是否需要撤掉？（12）会员管理模块该模块负责前台注册会员的信息审核，对于有效信息，网站准许其成为会员并购物；否则可以进行清理。同时该模块存储了会员的信息及购物纪录，是一个非常有价值的客户信息库。（13）定单管理模块跟踪并记录订单情况，包括新订单提醒、订单处理纪录、订单查询及阶段性订单统计等功能。（14）新闻管理模块该模块主要是管理前台网站发布的各种站内外的新闻、产品信息等。（15）详情请咨询（QQ:53597578） ●后台介绍商品类别管理大类别管理小类别管理商品管理商品添加商品管理单位管理信息管理信息内容添加网站动态管理网站公告管理销售管理最新订单等待订单已发订单销售报表缺货报表库存报表会员管理会员列表购物报表送货管理送货管理留言评论管理留言管理商品评论管理邮件列表邮件列表发送邮件数据管理数据备份数据恢复数据压缩网站参数设置联系方式邮件参数其他设置广告和投票管理广告管理友情连接管理投票管理网上支付设置网上支付设置系统参数设置管理员添加用户管理修改密码登陆历史记录系统探针空间使用统计 ●全面的安全性处理（1）数据库防下载处理（2） CONN防止暴库处理（3）防止跨站脚本攻击（4） SQL注入式攻击防范（5）禁止脱机浏览工具浏览（6）后台登陆采用验证码验证（7）会员密码采用MD5方式加密（8）防范未知IP访问及软件攻击（9）管理员密码采用MD5方式加密（10）过滤sql注入代码及HTML代码防护（11）进行数据来源安全性监测，跨站脚本防范（12）管理员登陆日至记录，非法操作代码日至记录

爱美尔女性商城(无演示图片)是国内专为女性提供美容护肤,营养保健，美体修身，卵巢护养等高品质产品的女性购物商城，是一个功能强大的电子商务**台，改网站现在改版升级，寂寞轩特别将原来的网站源码共享出来让大家一起学**。爱美尔女性商城特点：采用asp fso技术; 傻瓜式的程序安装和调试; 用户无需考虑系统的安装维护;美观、友好的展示铺面; 设计中应用了多种网络安全技术; 顾客可以方便的查询并订购商品; 用户可以方便的定义各种商品信息; 系统选用强大的数据库保存各类信息; 系统支持多种浏览器; 功能模块清晰实用强大; 系统有着良好的扩充性和升级性; 强大的在线支付系统和订单系统; 爱美尔女性商城前台功能介绍（1）会员注册及登录模块为了确保交易信息的有效性和网站功能拓展，购物网站需要以会员机制运作，浏览者必须成为会员，才能够在网站中购物。该模块通过与浏览者的交互，记录浏览者的基本信息，通过后台审核确定其信息的有效性。（2）商品分类展示模块商品分门别类、分层次展示不仅方便浏览者迅速找到自己的目标商品，同时增强了网站的亲和力。该模块是浏览者与网站接触最频繁的部分，要突出用户性和流程性。（3）商品信息检索模块信息检索是网站提供给消费者最基本的商品搜索工具，该功能可以根据商品特点细化，充分照顾浏览者的使用方式。（4）购物车模块是一个人性化的工具，浏览者对于中意的商品，在购买前临时存放在购物车中，并可以随时增减购物车中的商品种类和数量，以提高购物效率。（5）生成订单模块浏览者购物完毕，系统会引导其进行结账，在选择好结账方式后，系统会自动生成并交给客户一个唯一的订单号。（6）订单查询模块客户可以根据自己的订单号，通过专门的入口跟踪订单的处理情况。（7）商品排行模块最新商品,销售排行,关注排行,推荐商品,特价商品,最新定购等,让客户一幕了然,非常方便的查看兴趣产品（8）反馈留言模块完善的客服功能，客户可通过反馈表或网上调查表中提出对产品的看法建议等，（9）商品品牌展示模块商品分门别类、分层次展示不仅方便浏览者迅速找到自己的目标商品，同时增强了网站的亲和力。该模块是浏览者与网站接触最频繁的部分，要突出用户性和流程性。（10）商品类别管理模块我们在网站中所看到的商品分类不是固定的，后台管理员可以根据自己商品种类的变化来对目前的分类进行编辑修改，比如是否需要增加产品大类？是否需要删除某个产品小类？（11）商品管理模块如果说商品类别管理确定了网上商品的结构框架，那么本模块则为这些框架增加内容，将商品按照预定的类别进行归类编辑，比如某类产品是否新到商品需要添加？某些商品已经过季，是否需要撤掉？（12）会员管理模块该模块负责前台注册会员的信息审核，对于有效信息，网站准许其成为会员并购物；否则可以进行清理。同时该模块存储了会员的信息及购物纪录，是一个非常有价值的客户信息库。（13）定单管理模块跟踪并记录订单情况，包括新订单提醒、订单处理纪录、订单查询及阶段性订单统计等功能。（14）新闻管理模块该模块主要是管理前台网站发布的各种站内外的新闻、产品信息等。（15）后台蜘蛛模块。该模块主要是统计搜索引擎对网站的收录，便于统计。全面的安全性处理（1）数据库防下载处理（2） CONN防止暴库处理（3）防止跨站脚本攻击（4） SQL注入式攻击防范（5）禁止脱机浏览工具浏览（6）后台登陆采用验证码验证（7）会员密码采用MD5方式加密（8）防范未知IP访问及软件攻击（9）管理员密码采用MD5方式加密（10）过滤sql注入代码及HTML代码防护（11）进行数据来源安全性监测，跨站脚本防范（12）管理员登陆**至记录，非法操作代码**至记录后台登陆账号：admin 密码:admin 登陆地址/admintouch/login.asp

28,391

社区成员

357,059

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章