论文部分内容阅读
网络的流行带动了各式各样入侵工具的出现,着实让各网站害怕了一阵。而我恰好是只会利用工具来尝试一些傻瓜式进攻方法的菜鸟,啊D-SQL注射工具就属于傻瓜中的傻瓜,自然也就是我的首选之物!
软件介绍
本软件自创的注入引擎,能检测更多存在注入的连接!使用多线程技术,检测速度快!对“MSSQL显错模式”、“MSSQL不显错模式”、“Access”等数据库都有很好注入检测能力,内集“跨库查询”、“注入点扫描”、“管理入口检测”、“目录查看”、“CMD命令”、“木马上传”、“注册表读取”、“旁注/上传”、“WebShell管理”、“Cookies修改”于一身的综合注入工具!
实战引言
今晚的夜又是无风细雨,从工具箱中翻出啊D-SQL2.3注射工具,心中暗呼:“站长们我带着啊D注射软件来了”!从Internet Explorer漫无目的地一阵乱翻,虽然大网站我这样的菜鸟绝对没有把握能入侵进去,但是小网站也许就有意想不到的收获!鼠标就在不知不觉间点开了一个烟草网站!天啊,烟草这让我不知不觉想起了我以前的一个客户让我观看的站点,其专线网络中有不少站点!
既然如此,那就从这里让啊D施展一下身手!幸好还没有忘记他们专网的连接方法,打开[我的电脑]选中控制面板中的[网络连接],在其内选择[网络和internet连接][新建网络连接],创建一个新的连接到一个商业网络(VPN)这样就可以连接到他们的专线里了,在弹出的下一步对话框中输入网络用户名(这里随意命名)接下来输入IP地址218.92.5.145及用户名lxfoo,密码为3897,做完这一切后桌面上将建立一远程连接快速图标,单击图标,此时系统迅速切换到VPN专用通道(完成从公网转入内网,即是到达内部网络专用通道),这下啊D软件该开始干活了!
步骤一
打开熟悉的啊D软件界面,将对方的的网址http://10.42.40.21/yc/index.asp输入。
还没来得及我有所反应软件界面上就显视红色字符标记的两个网址(软件提示此处存在注射型漏洞),分别是http://10.42.40.21/yc/ArticleShow.asp?ArticleID=811与http://10.42.40.21/music/Artlist.asp?Name=Yxmusic&ID
=4,难到管理员真以为处在内网就可高忱无忧了?一到主页居然就有红包拿!得来全不费功夫!
外网的计算机要访问内网必先经过虚拟专用通道连接,而其间的中转计算机则通常会装有硬件防火墙。
步骤二
右击注入连接的头一个红色标记网址,啊D注入软件切换到注入点扫描,此时注入网址自动被软件提取出来,点开该工具右侧的设置选项此时会弹出的<管理入口栏><表段><字段>栏目!由于栏目里面所有字符都是该工具自已生成的,在这里有必要手工添加几个网站编写人员常用到的名称!在管理入口栏中增加入口radmin,radmin_admin,admin_radmin,radmin_a
dmin,index_radmin,radmin_Login,radmin_index.然后在表段中加入如下:黄金会员radmin_userin
fo,radmin_userpassword,radmin_psword,bbsxp,bbs
xpl,bbsxplink,bbxpsnews,radmin,接下来在字段中加入:用户名,单位,代号!
步骤三
输入完成后还回啊D 软件注入主界面,启动SQL的注入检测,线程运行的很快,不大一会功夫出现两个表段落admin和vote。
“哈哈,此处有戏”立即选中admin单击开始检测字段得出三个字段username和password、ID(前者是用户名,中者是密码,后者为代号),此时有必要同时选中前两者,让线程再一次运作,约五分钟后得出五条重要信息如下,用户名分别为:陆杭、莫延?、王海如、严方华、杨帆。相对应的密码分别为:7e5f1c46372a0dcc、875f41e2aa4c9300、14474e4033ac29cc、14474e40
33ac29cc、3eecb2f1caab9da9。看到啊D软件跑出的这行密码结果时,我心冷了一大半,密码居然采用16进制加密了。
仔细分析了一下密码,居然还有两个相同的密码,难到是同一个人用的两个不同的帐号?既然如此那就先破解头一个与用户名相匹配的密码吧!通常头一个破出的都是超级管理员,拥有网站后台的全部权限!
步骤四
从我的电脑E盘中找出MD5Crack2.exe破解软件,此软件专门破解16进制加密与32位加密的工具,速度狂快。在破解的单个密文中输入陆杭相对应的密码7e5f1c46372a0dcc,考虑到计算机的硬件配制不是很好,在软件中只开启8个线程,最少长度为0最大长度为16不变,并将自定义的勾勾去掉,从字符集中的数字开始破解,软件在我点击开始后运行!燃起一支烟,随着烟雾的升腾,软件提示,用了0小时1分多,破解出7e5f1c46372a0dcc=6288875,哈哈,出来一个。
步骤五
迅速开始用啊D扫描此站的后台登陆地址,在主界面选择管理入口检测,软件中出现五个绿勾三个红块的网址http://10.42.40.21/yc/admin/login.asp。
依我小菜的经验login.asp就是常用到的管理登陆入口,右击使用Internet Explorer浏览器打开此网址,果然不出所料,此处即是入口。在用户名中输入:陆杭,密码则为:6288875,页面刷地一下跳转到了管理员管理页面!在其中能管理前台页面显视的一切,我的上帝啊,此时的我既有一种兴奋心情同时也存在安全的苍凉!立即作出决定留言警告:本站出现SQL注入漏洞,请管理员注意!另注:管理员密码太简单,建议使用特殊字符组合!署名:妖……这下准让管理员惊出一身冷汗!
结束语
此时的啊D软件对此网站的破解已经完全成功,不但破解了超级管理员的后台帐号与管理入口而且成功登陆后台管理!此软件果然达到了一定境界,操作简单,功能强悍,让我这样的菜鸟都能玩得转!啊D注入软件也让我纵横网络,当了回小小的黑客……
软件介绍
本软件自创的注入引擎,能检测更多存在注入的连接!使用多线程技术,检测速度快!对“MSSQL显错模式”、“MSSQL不显错模式”、“Access”等数据库都有很好注入检测能力,内集“跨库查询”、“注入点扫描”、“管理入口检测”、“目录查看”、“CMD命令”、“木马上传”、“注册表读取”、“旁注/上传”、“WebShell管理”、“Cookies修改”于一身的综合注入工具!
实战引言
今晚的夜又是无风细雨,从工具箱中翻出啊D-SQL2.3注射工具,心中暗呼:“站长们我带着啊D注射软件来了”!从Internet Explorer漫无目的地一阵乱翻,虽然大网站我这样的菜鸟绝对没有把握能入侵进去,但是小网站也许就有意想不到的收获!鼠标就在不知不觉间点开了一个烟草网站!天啊,烟草这让我不知不觉想起了我以前的一个客户让我观看的站点,其专线网络中有不少站点!
既然如此,那就从这里让啊D施展一下身手!幸好还没有忘记他们专网的连接方法,打开[我的电脑]选中控制面板中的[网络连接],在其内选择[网络和internet连接][新建网络连接],创建一个新的连接到一个商业网络(VPN)这样就可以连接到他们的专线里了,在弹出的下一步对话框中输入网络用户名(这里随意命名)接下来输入IP地址218.92.5.145及用户名lxfoo,密码为3897,做完这一切后桌面上将建立一远程连接快速图标,单击图标,此时系统迅速切换到VPN专用通道(完成从公网转入内网,即是到达内部网络专用通道),这下啊D软件该开始干活了!
步骤一
打开熟悉的啊D软件界面,将对方的的网址http://10.42.40.21/yc/index.asp输入。
还没来得及我有所反应软件界面上就显视红色字符标记的两个网址(软件提示此处存在注射型漏洞),分别是http://10.42.40.21/yc/ArticleShow.asp?ArticleID=811与http://10.42.40.21/music/Artlist.asp?Name=Yxmusic&ID
=4,难到管理员真以为处在内网就可高忱无忧了?一到主页居然就有红包拿!得来全不费功夫!
外网的计算机要访问内网必先经过虚拟专用通道连接,而其间的中转计算机则通常会装有硬件防火墙。
步骤二
右击注入连接的头一个红色标记网址,啊D注入软件切换到注入点扫描,此时注入网址自动被软件提取出来,点开该工具右侧的设置选项此时会弹出的<管理入口栏><表段><字段>栏目!由于栏目里面所有字符都是该工具自已生成的,在这里有必要手工添加几个网站编写人员常用到的名称!在管理入口栏中增加入口radmin,radmin_admin,admin_radmin,radmin_a
dmin,index_radmin,radmin_Login,radmin_index.然后在表段中加入如下:黄金会员radmin_userin
fo,radmin_userpassword,radmin_psword,bbsxp,bbs
xpl,bbsxplink,bbxpsnews,radmin,接下来在字段中加入:用户名,单位,代号!
步骤三
输入完成后还回啊D 软件注入主界面,启动SQL的注入检测,线程运行的很快,不大一会功夫出现两个表段落admin和vote。
“哈哈,此处有戏”立即选中admin单击开始检测字段得出三个字段username和password、ID(前者是用户名,中者是密码,后者为代号),此时有必要同时选中前两者,让线程再一次运作,约五分钟后得出五条重要信息如下,用户名分别为:陆杭、莫延?、王海如、严方华、杨帆。相对应的密码分别为:7e5f1c46372a0dcc、875f41e2aa4c9300、14474e4033ac29cc、14474e40
33ac29cc、3eecb2f1caab9da9。看到啊D软件跑出的这行密码结果时,我心冷了一大半,密码居然采用16进制加密了。
仔细分析了一下密码,居然还有两个相同的密码,难到是同一个人用的两个不同的帐号?既然如此那就先破解头一个与用户名相匹配的密码吧!通常头一个破出的都是超级管理员,拥有网站后台的全部权限!
步骤四
从我的电脑E盘中找出MD5Crack2.exe破解软件,此软件专门破解16进制加密与32位加密的工具,速度狂快。在破解的单个密文中输入陆杭相对应的密码7e5f1c46372a0dcc,考虑到计算机的硬件配制不是很好,在软件中只开启8个线程,最少长度为0最大长度为16不变,并将自定义的勾勾去掉,从字符集中的数字开始破解,软件在我点击开始后运行!燃起一支烟,随着烟雾的升腾,软件提示,用了0小时1分多,破解出7e5f1c46372a0dcc=6288875,哈哈,出来一个。
步骤五
迅速开始用啊D扫描此站的后台登陆地址,在主界面选择管理入口检测,软件中出现五个绿勾三个红块的网址http://10.42.40.21/yc/admin/login.asp。
依我小菜的经验login.asp就是常用到的管理登陆入口,右击使用Internet Explorer浏览器打开此网址,果然不出所料,此处即是入口。在用户名中输入:陆杭,密码则为:6288875,页面刷地一下跳转到了管理员管理页面!在其中能管理前台页面显视的一切,我的上帝啊,此时的我既有一种兴奋心情同时也存在安全的苍凉!立即作出决定留言警告:本站出现SQL注入漏洞,请管理员注意!另注:管理员密码太简单,建议使用特殊字符组合!署名:妖……这下准让管理员惊出一身冷汗!
结束语
此时的啊D软件对此网站的破解已经完全成功,不但破解了超级管理员的后台帐号与管理入口而且成功登陆后台管理!此软件果然达到了一定境界,操作简单,功能强悍,让我这样的菜鸟都能玩得转!啊D注入软件也让我纵横网络,当了回小小的黑客……