ASP渗透测试网站的搭建

所有操作只用于测试，实际中需要重点考虑安全性

 

首先搭建虚拟机Windows Server2003环境，建议下载官方正版的Windows Server 2003，方便以后利用早先的一些漏洞进行渗透测试，对于php网站操作同理，但是需要导入php的相关服务。

 

Windows Server 2003：http://www.baiasp.com/soft/451.html

激活码：MPQ6X-3MCCF-47H9T-TKC2F-T69WM

 

如果使用自动安装的话，在安装完成后系统会自动安装VM Tool，为了方便后面的IIS安装，需要重新选定CD/DVD为系统镜像



然后加载光驱，点击---连接



1、搭建完成后，点击“开始”—“管理您的服务器”



2、选择“添加或删除角色”



3、然后下一步，选择自定义



4、下一步，选中如下，然后下一步



5、全部勾选，后面的一直下一步



6、安装完成后，“开始”—“管理工具”—“Internet信息服务(IIS)管理器”



7、 看见如下界面，这里就是发布网站的地方，对应的路径C:\Inetpub\wwwroot



8、开始创建自己的网站，百度搜索---asp源码，随便点进一个站点下载即可





9、下载完成后复制到虚拟机内，路径可以自定义



10、右击—新建—网站



11、其中， 描述可以自定义，下一步

12、 在此说明，IP可以不做设置或者自定义设置；端口自定义(如果自定义端口，在访问的时候需要加”: 端口号”)；主机头也就是域名。

注意：如果默认下一步不做任何设置就需要将“默认网站”停用才能开启自己设置的网站

如果想在此服务器中开多个网站，就需要改变IP或者改变端口或者域名设置的不一样。实际中大多数设置的域名、IP与同服务器中的其他网站互不一样。

 

此处不做设置，选择默认下一步



13 、选择存放网站的目录，下一步



14、网站访问权限，为了安全，默认下一步，不做设置



15、由于和默认网站同IP同端口所以自己设置的网站未被启用，所以要右击—停用，将默认网站停用，选择自己的网站并启用



16、为了让所有人都能访问本网站，“右击”—“权限”—“添加”—“高级”—“立即查找”—选择“EVERYONE”—“确定”



17、设置权限，全部允许并确定



18、设置属性，右击—属性—主目录—配置—选项，启用父路径



选择调试，启用调试标志，确定

9f33



执行权限设置为“纯脚本”



19、属性—文档，将启用默认内容文档中全部删除，然后添加自己的网站首页，确定，此处为index.asp



20、最后 Web扩展服务—Active Server Pages，设置为允许，并重启自己的网站



21、在浏览器输入 127.0.0.1 即可浏览搭建的网站

注意：对于访问网站时要求输入用户名和密码、或者显示未授权访问，进行如下操作，对于实际中为了安全性不建议这样操作。启用匿名访问，关闭“集成Windows身份认证”



至此，可以对自己搭建的网站进行一些渗透测试

 

比如



就可能存在SQL注入，可以尝试手工注入或者查看源码观察网站如何设置过滤的条件

 有的网站源码中不带数据库，但是可以查看源码，观察网站的过滤条件设置，并尝试进行绕过

 

*************************************************************************

提示：如果使用域名的话，先配置好自己的网站，只不过在“主机头”的选项需要输入自己的域名，我写的是www.mytest.com，剩下的配置网站做法和上面一样。

然后加载DNS服务器，过程和上面一样先加载CD光驱，添加或删除角色-----下一步---—自定义，然后选择DNS



选择好后一直下一步，然后输入区域名称


，下一步

转发器选择否


，下一步

完成后，打开DNS，右击mytest.com，新建主机



最后打开浏览器访问www.mytest.com，如下



***************************************************************************