习惯一个人

今天继续上一篇文章的更新,本文讲通过啊D注入工具来进行网站注入,通过注入获得后台管理员密码.

不懂不了解的可以在先看看之前写的那篇文章<网站注入原理知识基础篇>

话说找到了注入点,然后需要做的就是通过注入来获得管理员的帐号和密码.

关于怎么注入,了解sql的可以使用sql语句在注入点地址后面直接执行sql语句来进行手工注入来获得密码.

不了解sql语句的当然使用工具了,使用工具是比较方便也是很快捷的事,但是最好了解原理.

要不最后也最多是个工具小子而已,只会使用工具却不了解原理,遇到别的问题就傻眼了,这样的话鄙视下先.

废话就不多说了,直接看图吧,图1,

有没有存在注入的站点放在阿D里是可以自己检测的,若有的话,那红色的地址即是存在注入的地址.

随便选择一显示红色的地址,也就是注入点,点侧键,选择注入,...看图2.

点:检测,稍等片刻工具会自动判断出注入点的那站点是使用的什么数据库.看图3

此站点使用的是access数据库,遇到acc的数据库,使用阿D来入侵是非常快的.可以根据遇到的不同的数据库.

来选择不同的工具或者选择手工来进行注入入侵,一旦显示出数据库什么的后,就可以进行下一步的动作了,

回头看图2,先点J,检测表段,稍等后即可会显示出数据库内的表段,如图2.manage_user里即是管理员的表段.

选择manage_user后在点J检测字段,在显示出的,user和pass字段里即是包含着管理员帐号和密码了,都在那里面.

在然后点检测内容,稍等一会,帐号和密码就会出来了.得到了管理员的帐号和密码后,然后就是登陆后台地址了,看图4.

扫描后台管理地址,默认的后台是http://www.xxx.com/admin/ 也就是在目标站后加个admin后敲回车即可出来登陆地址.

在然后嘛,使用之前注入到的后台管理员帐号和密码,即可登陆该后台了..此时,恭喜,获得了人家的网站后台权限了.

补充:1,管理员的密码很多时候是用md5加密过的,可以去www.cmd5.com 解下,就可以得到未加密的密码了.

         2,得到了网站后台的权限,并不代表就想干什么就可以干什么了,后台权限只是个管理权限,只能管理该网站

主页上所显示的新闻等信息,不能随意删除或者修改网站上的系统文件和完全控制网站.

        3,本文写的很仓促,很多没写详细也写的很乱,如有不懂不明白的加我Q问我,很乐意回答.

---------------------------我是华丽的分割线-----------

本篇文章属于网站入侵的基础篇,希望大家可以用心看此文章,了解下网站注入存在的漏洞原理.

了解入侵网站的技术与手法不是为了更好的入侵,而是站在做好网络安全的角度上去更好的做好网络安全

想做好网站,网络安全,只有更了解,和学会了入侵手法和漏洞原理,才可以更好的做好网站,网络安全.

补充,还是那句话,技术是双刃剑,一边是网络犯罪,一边是网络安全,向左向右大家自己掂量.

本文到此结束,别的文章以后会按部就班的更新,如有问题加我Q问我,和乐意效劳.

[网站注入原理知识基础篇] [经典案例,社工入侵独立IP的网站] [公布个服务器安全管理工具] [eWebEditor编辑器上传被删之在利用]