对某高级技工学校网站的安全检测和加固

核心提示： 图8 查到结果却需要购买6.看看旁注可否上“http://www.myipneighbors.com/”这个网站查了下这个网站结果表明该网站属于独立服务器，那么用旁注也不好使了，对某高级技工学校网站的安全检测和加固(4)，旁注结果如图9所示，图9查询该IP地址域名情

图8 查到结果却需要购买

6.看看旁注可否

上“http://www.myipneighbors.com/”这个网站查了下这个网站结果表明该网站属于独立服务器，那么用旁注也不好使了。旁注结果如图9所示。

图9查询该IP地址域名情况

很多菜鸟朋友们到这里可能要放弃了，我在测试的时候也想放弃来着，可是为了simeon的奖励俺也要厚着脸皮上的。

7．再次分析网站结构

刚才只是对整个网站大体的分析了一下，这在入侵的时候也是必须的工作，根据自己的经验来对网站的结构做些大体的了解，等到我们先前工作做完了，那我们就有了更大的把握来把网站给搞下来。

接下来只能来狠的了，拿出俺的杀手锏wscan了，挺强大的一个网站目录和文件扫描工具，不过这个工具有的时候会误报的，明明存在的目录它也扫描不出来。用它扫了好几遍也没什么可以利用的东西。然后换了wwwscan结果还好一点，因为以前收集过一些字典而且原点也给过我他的字典，所以结合起来也算挺全的了，在cmd下用“wwwscan ***.***.217.206 –m 300 –t 30”，剩下的就是等待了，一会结果出来了，扫到了不少好东西，结果如图10所示。

图10 使用wscan扫描网站目录和文件

8.其它尝试

有个“upfile.asp”看来是个上传文件，用domain的综合上传功能试了下传不上去，而且“conn.asp”也爆不了库，最后视线落到了“ewebeditor”身上，看看用它能不能搞定。在网址后面加上“ewebeditor/admin_login.asp”提交一下，一愣神的功夫血红的登陆界面就跳出来了，如图11所示。