|
第一步寻找网站的注入点 可以直接点击网站中的链接如果链接地址是上面的形式直接填写到注入点文本框中 也可以用软件中的“注入点检测”在注入点检测窗口中输入网址再点击“连接”按钮软件会自动搜索此网站中的可疑注入点但是检测出来的并不是百分之百都可以注入还可以在注入点检测窗口打开百度或谷歌在其中输入关键字寻找漏洞例如在搜索框中输入inurl:newsasp?id= 检测出来的注入点会出现在旁注检测窗体的下面列表里点击列表中的注入点时会出现一个菜单在选择菜单中的“注入”此时会将该注入点自动加入到主窗口中的注入点文本框中 第二步检测注入点 点击“开始注入检测”按钮此时会弹出对话框告诉你注入检测成功还是失败如果检测失败那么换一个注入点如果检测成功则进入下一步 第三步猜解表名猜解列名猜解内容 点击“猜解表名”按钮等待猜解结果猜解完毕后如果猜到表名那么选中一个表名点击“猜解列名”一般情况能猜解出两个列名一个是管理员账号一个是密码选择猜解出来的列名点击“猜解内容”在最下面的文本框中出现猜解结果如果密码长度是位或的很可能是用MD加密后的结果此时需要打开MD破解网站将MD密文还原回去有破解失败的可能 第四步扫描后台登陆地址 点击“扫描后台地址”按钮会弹出扫描后台窗口点击“开始扫描”即可存在的页面会在下面的列表中出现点击列表中的地址会弹出一个菜单选择“打开”最后当然是登陆后台了! 注应该先扫描后台如果扫描不到后台登陆地址即使得到账号和密码也是没用的 |
