12月1日晚网工1班实验 『SQL INJECTION』

实验内容：

利用SQL INJECTION 获取WEB应用程序的后台管理密码

实验目的：

熟悉INJECTION原理，掌握相关的工具，掌握INJECTION攻击的防范技巧

实验步骤：

1、了解WEB应用程序环境的搭建，本次的目标程序为《尘缘雅境图文系统 沸腾3AS修改版 v0.40》
2、掌握对普通ASP论坛/留言本的注入手法，学习如何判断对方的注入点
3、调整自己的浏览器，通过GET方式猜取测试目标的用户、密码
        过程：
                查找注入点，测试属于何种注入方式
                爆对方的表名、字段名        [此处因从网上下载程序，略过]
                获取对方记录ID总数和最小值
                获取最小值用户名长度
                依次获取最小值用户名字母组合
                同上方法查找对方密码长度、内容
                找到管理后台入口，用猜测的帐号登录            

4、采用WIS、NBSI等工具进行猜解，比较手动与程序猜解的不同
        WIS：小榕出品，命令行模式的猜解
        WEB：小榕出品，命令行模式的猜解
        NBSI：小竹软件,最新版本2.0，GUI界面的猜解
5、浏览IIS日志，总结猜解经验和防范办法