如何利用IIS最大连接数攻击网站？【怎么简单攻击一个网站】

个人观点，ASP很脆弱，如同现在的TCP/IP协议，简单MD5加密的，有心的话大点的彩虹表容易跑出来的~ 若果我想要攻击你网站的话。

1.先判断有注入没，有防注入的，看下防cookies注入没，能否构造。数据提交除了POST,GET,电脑还会接受COOKIES数据。

2.你的网站程序。DOWN下源码。看对一些目录限制了没，比如数据库路劲，后台，上传的地方。是不是有弱口令~万能口令，是不是这中种网站程序有已知的ODAY。如果没有，自己研究下源码，看下有突破的地方没。

3.比如你的那个EWB，，用的人多了，研究的人也多了，漏洞也就多了。比如Ewebeditor2.8有删除任意文件漏洞，2.1.6以下的有上传漏洞，还有一些比如遍历目录，当数据库被管理员修改为asp、asa后缀的时候，可以插一句话木马服务端进入数据库，特别是你加个#号，简直和没加一样，一般会尝试db/#ewebeditor.asa、db/#ewebeditor.asp 、db/#ewebeditor.mdb，这样的。 若果EWB的权限沦陷的话~基本上你的服务器没救了，一般主流的方法是添加上传类型，然后直接上传ASP大马。

4.如果开始一些简单检测，都过了的话。就会尝试旁注，所谓旁注，就是先入侵你同服务器的站，然后跨目录，或者监听。

5.如果还没效果的话，我会社工你的QQ,E-MAIL，电话等，看下有没价值的信息。一般人会把一些网站账号保存在E-MAIL里面。

6.看似没了~~绝杀招--“等”

最好别这么做 被发现就惨了…… 局域网内有个ARP欺骗的攻击器 操作简单 可以使局域网内指定IP用户上不了网那个攻击器以前试过一次，，叫什么忘了。你去搜索下就能下载了。

先准备一个病毒，可以自己写，也可以拿别人的配置下，然后入侵一个网站，上传病毒，再网页里添加几句代码，挂上你的病毒，复制下网址，发给QQ好友，骗他（她）是其他他感兴趣的东西。 病毒网上找，各个黑客网站都有，黑白，黑基，hk都有

1、弱口令： FTP、MySQL、MS-SQL、NT（就是IPC$现在已经很少了），最主要的还是利用前三个 2、80端口是提供正常的HTTP服务的，所以对于80端口的入侵，一般的防火墙都是形同虚设的。在此类攻击手段中，SQL 注入可谓是一把利刃，无坚不摧；此外还有比如：XSS（跨站脚本攻击），主要针对SNS类型的网站，一句话来形容XSS：只有想不到的，没有做不到的。但要发起此类攻击不是那么简单的：攻击者必须具备编写AJAX蠕虫的水平。

1.POST注入，通用防注入一般限制get，但是有时候不限制post或者限制的很少，这时候你就可以试下post注入，比如登录框、搜索框、投票框这类的。另外，在asp中post已被发扬光大，程序员喜欢用receive来接受数据，这就造成了很多时候get传递的参数通过post/cookie也能传递，这时如果恰好防注入程序只限制了get，因此post注入不解释
2.cookie注入，原理同post注入，绕过相当多通用防注入


3.二次注入，第一次注入的数据可能不会有效，但是如果将来能在某个页面里面被程序处理呢?注入来了……
4.csrf，适合后台地址已知并且存在已知0day，可以试试用csrf劫持管理员来进行操作（这招其实不属于sql注入了）


5.打碎关键字，比如过滤select，我可以用sel/**/ect来绕过，这招多见于mysql


6.有时候也可以sELeCT这样大小写混淆绕过


7.用chr对sql语句编码进行绕过


8.如果等于号不好使，可以试试大于号或者小于号，如果and不好使可以试试or，这样等价替换


9.多来几个关键字确定是什么防注入程序，直接猜测源码或者根据报错关键字（如"非法操作，ip地址已被记录"）把源码搞下来研究
10.记录注入者ip和语句并写入文件或数据库，然而数据库恰好是asp的

只要你有时间，你就平拼命的注册小号，挂着。最好找个工具假人攻击工具一般服务器承受不了

我地个 亲娘呀~~~~~ 方法 太多了 。。。旁注 。 溢出。 iis 解析漏洞。 上传 漏洞 sql注入 cookie 欺骗 ， 万能密码 ， 数据库入侵。 DDOS 。 社会工程学。。。 我滴 妈呀。。 太多了 怎能 一字 了得。。

向同一个被攻击的IP地址，并发无数个http连接，当连接达到被攻击服务器IIS最大并发连接数时，服务器就会拒绝服务，丢弃后面的http数据包。一直连接的话，所有过来的http数据包都无法相应，导致网站失效。