本文介绍了一个名为流光的工具,该工具包含wed.exe和wis.exe两个组件,分别用于探测管理员的用户名和密码以及后台登录页面。文章详细解释了工具的工作流程,并通过实例展示了其在SQL注入攻击中的应用。
用小榕的流光的时候,启动时介绍了两个工具:一个是wed.exe,另一个是wis.exe。这两个工具都是用来测试和进行SQL注入的,其中wed.exe是探测管理员的用户名和密码,而wis.exe用来探测后台的登录页面!
注意:使用这两个工具的时候,一定要关闭防火墙,因为大部分的杀毒软件都会认为它们是病毒!!!!!
wed.exe会首先探测是否能进行SQL注入,如果不会,会立即返回!行的话,进行了一步。就是获取你想注入的网站的cookies。接着是探测表名,如果可以得知表名,就会返回表的名称,否则退出。得到表名之后,下面的用户名和密码的长度一般都可以探测出来,因为表名都已经获得,对于用户名和密码都不会做什么限制的!最重要的一步来了,就是猜解用户名和密码!我觉得这个工具的唯一缺点就是猜解用户和密码的时候,会出错,要多试几次,才能得到正确的!
下面的图片说明了它的使用方法!!我入侵了那个网站之后,并没干什么,仅仅在首页提示一下它的管理员!
注:我隐去了网站的地址和用户名密码!!
下面是网站的首页被修改的情况:
我所做的这些,并不表明我有多厉害,只是想说明,用这么一个工具,就可以入侵一个网站!这不是什么高深的技术,只是网站的制作者水平太低了,对于注入完全不做防范!!!
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
