所有操作只用于测试,实际中需要重点考虑安全性
首先搭建虚拟机Windows Server2003环境,建议下载官方正版的Windows Server 2003,方便以后利用早先的一些漏洞进行渗透测试,对于php网站操作同理,但是需要导入php的相关服务。
Windows Server 2003:http://www.baiasp.com/soft/451.html
激活码:MPQ6X-3MCCF-47H9T-TKC2F-T69WM
如果使用自动安装的话,在安装完成后系统会自动安装VM Tool,为了方便后面的IIS安装,需要重新选定CD/DVD为系统镜像
然后加载光驱,点击---连接
1、搭建完成后,点击“开始”—“管理您的服务器”
2、选择“添加或删除角色”
3、然后下一步,选择自定义
4、下一步,选中如下,然后下一步
5、全部勾选,后面的一直下一步
6、安装完成后,“开始”—“管理工具”—“Internet信息服务(IIS)管理器”
8、开始创建自己的网站,百度搜索---asp源码,随便点进一个站点下载即可
9、下载完成后复制到虚拟机内,路径可以自定义
10、右击—新建—网站
11、其中, 描述可以自定义,下一步
12、 在此说明,IP可以不做设置或者自定义设置;端口自定义(如果自定义端口,在访问的时候需要加”: 端口号”);主机头也就是域名。
注意:如果默认下一步不做任何设置就需要将“默认网站”停用才能开启自己设置的网站
如果想在此服务器中开多个网站,就需要改变IP或者改变端口或者域名设置的不一样。实际中大多数设置的域名、IP与同服务器中的其他网站互不一样。
此处不做设置,选择默认下一步
13 、选择存放网站的目录,下一步
14、网站访问权限,为了安全,默认下一步,不做设置
15、由于和默认网站同IP同端口所以自己设置的网站未被启用,所以要右击—停用,将默认网站停用,选择自己的网站并启用
16、为了让所有人都能访问本网站,“右击”—“权限”—“添加”—“高级”—“立即查找”—选择“EVERYONE”—“确定”
17、设置权限,全部允许并确定
18、设置属性,右击—属性—主目录—配置—选项,启用父路径
选择调试,启用调试标志,确定
执行权限设置为“纯脚本”
19、属性—文档,将启用默认内容文档中全部删除,然后添加自己的网站首页,确定,此处为index.asp
20、最后 Web扩展服务—Active Server Pages,设置为允许,并重启自己的网站
21、在浏览器输入 127.0.0.1 即可浏览搭建的网站
注意:对于访问网站时要求输入用户名和密码、或者显示未授权访问,进行如下操作,对于实际中为了安全性不建议这样操作。启用匿名访问,关闭“集成Windows身份认证”
至此,可以对自己搭建的网站进行一些渗透测试
比如
就可能存在SQL注入,可以尝试手工注入或者查看源码观察网站如何设置过滤的条件
有的网站源码中不带数据库,但是可以查看源码,观察网站的过滤条件设置,并尝试进行绕过
*************************************************************************
提示:如果使用域名的话,先配置好自己的网站,只不过在“主机头”的选项需要输入自己的域名,我写的是www.mytest.com,剩下的配置网站做法和上面一样。
然后加载DNS服务器,过程和上面一样先加载CD光驱,添加或删除角色-----下一步---—自定义,然后选择DNS
选择好后一直下一步,然后输入区域名称
转发器选择否
,下一步完成后,打开DNS,右击mytest.com,新建主机
最后打开浏览器访问www.mytest.com,如下
***************************************************************************