12月1日晚网工1班实验 『SQL INJECTION』
2004-12-01 14:50
330 查看
实验内容:
利用SQL INJECTION 获取WEB应用程序的后台管理密码
实验目的:
熟悉INJECTION原理,掌握相关的工具,掌握INJECTION攻击的防范技巧
实验步骤:
1、了解WEB应用程序环境的搭建,本次的目标程序为《尘缘雅境图文系统 沸腾3AS修改版 v0.40》
2、掌握对普通ASP论坛/留言本的注入手法,学习如何判断对方的注入点
3、调整自己的浏览器,通过GET方式猜取测试目标的用户、密码
过程:
查找注入点,测试属于何种注入方式
爆对方的表名、字段名 [此处因从网上下载程序,略过]
获取对方记录ID总数和最小值
获取最小值用户名长度
依次获取最小值用户名字母组合
同上方法查找对方密码长度、内容
找到管理后台入口,用猜测的帐号登录
4、采用WIS、NBSI等工具进行猜解,比较手动与程序猜解的不同
WIS:小榕出品,命令行模式的猜解
WEB:小榕出品,命令行模式的猜解
NBSI:小竹软件,最新版本2.0,GUI界面的猜解
5、浏览IIS日志,总结猜解经验和防范办法
利用SQL INJECTION 获取WEB应用程序的后台管理密码
实验目的:
熟悉INJECTION原理,掌握相关的工具,掌握INJECTION攻击的防范技巧
实验步骤:
1、了解WEB应用程序环境的搭建,本次的目标程序为《尘缘雅境图文系统 沸腾3AS修改版 v0.40》
2、掌握对普通ASP论坛/留言本的注入手法,学习如何判断对方的注入点
3、调整自己的浏览器,通过GET方式猜取测试目标的用户、密码
过程:
查找注入点,测试属于何种注入方式
爆对方的表名、字段名 [此处因从网上下载程序,略过]
获取对方记录ID总数和最小值
获取最小值用户名长度
依次获取最小值用户名字母组合
同上方法查找对方密码长度、内容
找到管理后台入口,用猜测的帐号登录
4、采用WIS、NBSI等工具进行猜解,比较手动与程序猜解的不同
WIS:小榕出品,命令行模式的猜解
WEB:小榕出品,命令行模式的猜解
NBSI:小竹软件,最新版本2.0,GUI界面的猜解
5、浏览IIS日志,总结猜解经验和防范办法
相关文章推荐
- SQL Server 语句操纵数据库
- SQL Server 索引结构及其使用(一)--深入浅出理解索引结构第1/4页
- 千年零一虫
- 测试一下子呀,呵呵
- c#接简单数据库操作类
- 我的应聘总结!
- Microsoft Visual Studio .NET 2003制作安装程序
- 今天很高兴!
- Java测试规范(引用)
- duwamish7的感悟!
- oracle中的分页
- 英雄无敌程序员版
- 没什么,测试一下喽~~~
- 解析IP地址为主机域名
- 将某一主机域名解析为IP地址
- 備份服務器端SQL SERVER數據庫至本地目錄
- RedHat 9.0及8.0美化终结篇,只用simsun来美化kde和gnome
- 申请blog成功
- 兼职软件开发
- Ant应用(3)