“啊D”注入测试工具
来源:互联网 发布:网络流行歌曲 编辑:程序博客网 时间:2024/06/16 06:05
实验环境
- 实验环境
- 操作机:
Windows XP
- 目标机:
Windows 2003
- 目标网址:
www.test.ichunqiu
- 操作机:
- 实验工具:
C:\Tools\注入工具\啊D注入工具
MD5C:\Tools\破解工具\MD5
本课程带领大家利用啊D进行SQL注入实验,使大家了解到漏洞的注入并非难事,需要提高自身SQL注入防御能力。
实验步骤
第一步 测试注入点
快速查找实验工具
- 打开桌面
Everything
搜索工具,输入实验工具名称,右击选择“打开路径”,跳转实验工具所在位置。 - 以查找
BURP
为例为大家演示。
打开目标地址www.test.ichunqiu
打开啊D注入工具
,点击扫描注入点
,粘贴目标地址,进行注入点检测。
小i提示:
- 啊D注入工具是一种主要用于SQL的注入工具,由彭岸峰开发,使用了多线程技术, 能在极短的时间内扫描注入点。使用者不需要经过太多的学习就可以很熟练的操作。 并且该软件附带了一些其它的工具,可以为使用者提供极大的方便。
第二步 使用啊D进行注入
选择id=170的url检测,可以看出检测表段出现可选项,点击检测表段
。有四个表段,其中有一个Nwebadmin
的表段, 点击此表段。 再点击检测字段, 选中username和password两个字段 ,最后点击检测内容。检测一段时间后,可以看出检测出来了用户名为admin
密码为一个 md5()函数加密的值 ,双击加密的值,进行复制。
打开桌面下的 MD5CrackSP V2.3
应用 ,破解 md5值 ,粘贴刚才扫描出来的md5加密的密码,选择一个字典 ,点击开始破解。
小i提示:
- 字典是暴力破解密码时候用到的,字典中有着数字和字母,在破解密码时,会将字典中的数字或字母来回进行测试。
鼠标下方就是破解的密码 14789632
,使用这个密码进行登陆。
第三步 获取管理员口令
在目标网站上找到其后台登陆地址,复制此地址登陆后台/System/index.asp
。
把复制的地址粘贴到地址栏中, 输入扫描的用户名admin
,和破解的密码 14789632
进行登陆,成功登陆到后台, 网站后台底部字符串就是网站的 key
。
第四步 防御方案
1.普通用户与系统管理员的权限要有严格的区分
2.强迫使用参数化语句
3.加强对用户输入的验证
4.多使用数据库自带的安全参数
5.使用专业的漏洞扫描工具来寻找可能被攻击的点
0 0
- “啊D”注入测试工具
- “SQLmap”网站注入测试工具
- 明小子注入工具+啊D注入工具+御剑后台扫描工具+中国菜刀一句话木马
- 阿D SQL注入工具常用的一些注入命令
- SQL注入测试工具:Pangolin(穿山甲)
- SQL注入漏洞测试工具比较
- SQL注入漏洞测试工具比较
- SQL注入测试工具:Pangolin(穿山甲)
- SQL注入自动测试工具—jSQL
- 菜鸟提问:啊D注入工具 猜解出来的密码貌似不正确
- SQL注入点自动化利用测试工具—shoryuken
- 注入测试
- HASH注入工具WCE
- SQL 注入工具清单
- sql 注入工具
- SQL注入工具
- sql注入工具
- SQL注入工具
- 【NOIP2016提高A组五校联考4】square
- Introduction to Glide, Image Loader Library for Android, recommended by Google
- 机器学习中的相似性度量
- 10.3
- Spark实践-日志查询
- “啊D”注入测试工具
- Intel Code Challenge Final Round (Div. 1 + Div. 2, Combined)A. Checking the Calendar
- 3字节起始码和4字节起始码
- 从Java源码角度彻底理解String,StringBuilder和StringBuffer的区别
- 10.4
- Linux Mint (专题之开篇介绍)
- Http中Post、Get区别
- 10.5
- python---001