如发现有乱码，请点击下面链接浏览原文
正文摘录:

五、注入工具简介注八攻击T具的出现，极大的方便了小菜。记得我以前学注入的时候手工猜个用户名就要一个多小时。现在市面上流行的注入攻击的丁具越来越多：小竹的NBsI、教主的HDsI、啊D注人工具以及Domain3.5等等。个人认为它们都有各自的特点：Domain3.5在猜解数据时速度比较快，啊D注人工具的批量查找注入点的功能是它最大的特色，教主的I{DsI备份数据库获得webshell和开3389的功能非常方便(而且它还有I，HP注入的功能，这是其它工具所不具备的)，小竹的NBsI在执行命令方面最为突出。所以我们平时需要多个工具结合起来使用，同一个注入点，这个工具做不到的事情换一个工具也许就能做到了。六、网站注入入侵实例1.寻找sOL注入目标要练手肯定要先找好练手的靶子，使用传说中的Gc＞ogleHack来找一F吧!J-P‘'kJIf—、j。……，J、知弧什／厶是Gi。o¨oIIglje”0_HHI{aj：ck0_叼_i叼GoogleHack蔓其窦简单的说就是利用、Go唱Ie强大的ji搜索功能袭寻找对我们j震??馕有用j的!信；息。i它。是一门j。很复杂盼学问，但利獭起来还是非常简j单的。i例。如ii今天我弼要找存在注入灞澜的地址≯”?只需要、在G00g1砂j里搜索jn¨卜.a8p就可以搜出好多。曩美ijijjiiiiii薯i一打开Googlc的高级搜索页面，把每页显示项改为100，搜索关键字“inur1：.asp”，然后开始搜索。把浏览器里面的地址填到啊D注人工具的地址栏里面。一会儿下面就会显示检测到的存在漏洞的地址了。在啊D注入丁具中的页面中点击一F一页”，会自动检测下一个页面中的链接，这个功能是所有注人工具中最独特的，也是最实用的功能，特别方便我们批量寻找注入点，如隆l7。图7在下方出现的红色的地址上点击鼠标右键，可以直接进行分析检测。虽然它的探测能力很强，但是准确率相对也低，而且对非会员有很多功能上的限制，所以我们一般只使用啊D进行检测而不用它进行下一步的入侵。2.Domain3.5一一access数据库的克星在啊D检测出来的众多地址里任意选一个下手，例如http：／／www.j’gxh.cn／list!.asp?ID=2lO，按以下步骤进行操作：①把注入点填人工具的“注入点”巾，点击“开始检测”，在下面的“检测信息”中会出现“恭喜，该uRL可以注入，数据库类型”等等信息；②点击“猜解表名”，会把检测到的数据库表名显示在上面。一般admin、usel‘、manage.administt‘ator等类似的表名是比较有用的；③选中要猜解的表名，比如“admin”，点击“猜解列名”，会把检测到的列名显示在上面；④选中要猜解的列名，比如选择“password、name、id”，点击“猜解内容”，会把检测到的数据内图8⑤在得到管理员的数据后我们就可以登录网站的后台了。切换到“管理人口扫描”，点击“扫描后台地址”，选择“主机地址开始扫描”，找到的后台地址就会显示在最下面的信息窗口中，我们在浏览器中打开后台地址，会出现登录界面，使用刚才得到的管理员用户和密码登录进去。我们来客串一下管理员，给它增加一个新闻，吓吓管理员，如图9，图10。上面就是ACCESs数据库的利用方法，但是当我们遇到MSS()LServer数据库时那就好玩多了。3.}4DSIVSGetWebShell，轻松拿下DB—OWNER熏新选择一个注入点http：／／WWw.hpw.com.‘tw／hoteI／hoteI.asp?LC：TC填到工具的“注入地址”里