CONN暴库怎么用

jupiter418 2009-07-26 09:17:59

我是小菜一个,虽然翻了很多资料还完全弄不懂CONN暴库的具体步骤,请问CONN到底是什么东西,怎么可以搬来搬去的,
这是BAIDU里查到的内容:
------------------------------------------------------------------------------------------------------
我们再来ＡＳＰ系统一个盗帅的例子
提交
_ http://localhost/2222/db/user.asp
得到如下结果：Microsoft JET Database Engine 错误 '80004005'
'I:\盗帅下载程序 V2.0 正式版\db\db\daidalos.mdb'不是一个有效的路径。确定路径名称拼写是否正确，以及是否连接到文件存放的服务器。
/2222/db/user.asp，行 6
--------------------------------------------------------------------------------------------------------

请问user.asp是必须真实存在的文件吗？如果是的话，那暴库的前提岂不是要首先知道user.asp，及user.asp的具体位置？

...全文

195 4 打赏收藏转发到动态举报

写回复

用AI写文章

4 条回复

切换为时间正序

请发表友善的回复…

发表回复

jupiter418 2009-07-26

打赏
举报

我在自己电脑上测试，直接输入http://localhost/conn.asp总是显示空白，这是为什么？

conn.asp里面没有使用on error resume next，请看conn.asp全部代码：

<%
dim Db,sessionvar
Db="data/j1qj.asa" '数据库连接地址
sessionvar="j1qj04157788" '设置变量，变量不可以为NO，否则后台无法登陆
%>

lzp4881 2009-07-26

打赏
举报

user.asp是数据库连接文件。
很多网站都是把数据库连接文件写成conn.asp放在inc文件夹下面。所以你可通过猜，直接输入http://wwww.xxx.xx/inc/conn.asp这样就可以爆出数据库的存放位置和文件名。
不过，使用这个漏洞两个前提，一是conn.asp里面没有使用on error resume next，很多人在设计程序的时候都把这句注释掉了，正式发布后忘了改回来，所以就会有这个漏洞。
还有一个前提就是数据库的连接方式....

后面我不说了，你自己去测试.