12月1日晚网工1班实验 『SQL INJECTION』
来源:互联网 发布:windows模板 编辑:程序博客网 时间:2024/06/05 00:37
实验内容:
利用SQL INJECTION 获取WEB应用程序的后台管理密码
实验目的:
熟悉INJECTION原理,掌握相关的工具,掌握INJECTION攻击的防范技巧
实验步骤:
1、了解WEB应用程序环境的搭建,本次的目标程序为《尘缘雅境图文系统 沸腾3AS修改版 v0.40》
2、掌握对普通ASP论坛/留言本的注入手法,学习如何判断对方的注入点
3、调整自己的浏览器,通过GET方式猜取测试目标的用户、密码
过程:
查找注入点,测试属于何种注入方式
爆对方的表名、字段名 [此处因从网上下载程序,略过]
获取对方记录ID总数和最小值
获取最小值用户名长度
依次获取最小值用户名字母组合
同上方法查找对方密码长度、内容
找到管理后台入口,用猜测的帐号登录
4、采用WIS、NBSI等工具进行猜解,比较手动与程序猜解的不同
WIS:小榕出品,命令行模式的猜解
WEB:小榕出品,命令行模式的猜解
NBSI:小竹软件,最新版本2.0,GUI界面的猜解
5、浏览IIS日志,总结猜解经验和防范办法
利用SQL INJECTION 获取WEB应用程序的后台管理密码
实验目的:
熟悉INJECTION原理,掌握相关的工具,掌握INJECTION攻击的防范技巧
实验步骤:
1、了解WEB应用程序环境的搭建,本次的目标程序为《尘缘雅境图文系统 沸腾3AS修改版 v0.40》
2、掌握对普通ASP论坛/留言本的注入手法,学习如何判断对方的注入点
3、调整自己的浏览器,通过GET方式猜取测试目标的用户、密码
过程:
查找注入点,测试属于何种注入方式
爆对方的表名、字段名 [此处因从网上下载程序,略过]
获取对方记录ID总数和最小值
获取最小值用户名长度
依次获取最小值用户名字母组合
同上方法查找对方密码长度、内容
找到管理后台入口,用猜测的帐号登录
4、采用WIS、NBSI等工具进行猜解,比较手动与程序猜解的不同
WIS:小榕出品,命令行模式的猜解
WEB:小榕出品,命令行模式的猜解
NBSI:小竹软件,最新版本2.0,GUI界面的猜解
5、浏览IIS日志,总结猜解经验和防范办法
- 12月1日晚网工1班实验 『SQL INJECTION』
- 1月28,尝试sql injection
- SQL Injection(1)
- vBulletin 4.1.12 SQL Injection
- vBulletin version 4.0.1 remote SQL injection exploit
- SQL Injection
- SQL injection
- sql injection
- SQL Injection
- sql injection
- sql Injection
- sql injection
- sql injection
- SQL injection
- SQL injection
- SQL Injection
- SQL Injection
- SQL Injection
- unicode
- string 与 PChar
- 文章标题:[转帖]关注中国智力产业:软件蓝领即将兴起
- Linux 入门常用命令
- 自动自发,迈向成功(zt)
- 12月1日晚网工1班实验 『SQL INJECTION』
- ShadowStar CodeFast 下载
- 一些SQL SERVER的系统信息
- 你永远没有第二次机会来留下第一印象
- Take Me to Your Heart
- Visual C++ 中的ODBC编程
- 遗传地理编程(Geneticgeographicprogramming)
- JSP中解决乱码的方法。用PetStore中的EncodingFilter
- 用phpmyadmin备份MYSQL数据库