首先单击窗口中“注入检测”中的“扫描注入点”按钮,然后在“检测地址”中输入需要进行检测的网站地址,按回车就会打开该网页并开始检测注入点,检测到的注入点会在最下方显示,如图7.29所示。
提示:用户可以在页面显示窗口中操作,这样可以增加程序查找漏洞的几率。如果程序检测到漏洞的话,将显示出漏洞的链接地址,也就是用于初级SQL注入入侵的注入点。
在检测到的注入点链接上点击鼠标右键,选择菜单中的“注入检测”按钮,程序将自动的跳转到“初级SQL注入检测”界面。而“注入连接”中显示的则是刚才检测出的可用注入点链接,然后单击右边的“检测”按钮即可检测出该网站所使用的数据库类型为MSSQL,而且软件自动进行了库名检测,如图7.30所示。
库名检测完毕后,会显示在右边的检测内容中,我们可以看到当前库名为“machine”,然后我们单击“检测表段”按钮对数据库的表段进行分析,一会程序就检测出数据库中存在的表段admin。选择“admin”这个表段,然后单击“检测字段”按钮,如图7.31所示。
提示:也可以使用“MSSQL专用表段检测”和“MSSQL专用字段检测”,不过免费版本只能检测一个表段,会员版则没有限制。
同样在很短的时间内就能检测出“admin”表段中的字段名称,如图所示。adminname字段存放的是管理员的账户,而adminpassword字段中当然就是登录密码。全选二个需要进行猜解的字段,再单击“检测内容”按钮来判断字段的长度和内容,接着程序就可以将每个字段的内容猜解出来,如图7.32所示。
现在很多账户和密码都经过了MD5进行加密,当遇到这种情况的时候,除了可以通过MD5Crack这样的工具进行本地暴力解密。还可以通过专门的MD5破解网站,利用网站中对应的数据库进行在线破解,比如www.xmd5.org等网站。
当我们成功的获得了管理员的账户和密码后,那我们就应该开始检测该网站的管理入口了。首先单击左边的“管理入口检测”按钮进入其对话框,然后单击右边的“检测管理入口”按钮,软件就开始自动的检测该网站的管理入口了。当检测到网站的管理入口后,在检测到的地址上单击鼠标右键,在弹出的菜单中选择“用IE打开连接”命令,如图7.33所示,我们就可以直接跳转到转到管理入口页面。
不同的登录页面内容也不相同,进到管理员登录界面后输入账号和密码进行登录,进入网站的后台后就可以对其进行管理操作了。
提示:不一定拿到了管理员账户和密码就可以进行登陆了,有些网站还会对IP访问进行设置。
上一篇:伪装木马成为小游戏
广告招租QQ:286313316