一个厂商网站的SQL安全检测 (啊D、明小子)

最新推荐文章于 2021-01-30 00:18:52 发布
最新推荐文章于 2021-01-30 00:18:52 发布
阅读量1.3k 收藏
点赞数
分类专栏: web安全 工具检测 文章标签: sql 安全 菜鸟 密码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kids412kelly/article/details/47420709
版权


鄙人今年20,七年前也就是我初一的时候钻研过一段时间的攻防技术,但是由于年纪尚小不懂代码而且以学业为重放弃了继续钻研。


前几天学校一学弟开群拉有兴趣的同学进入,我又想到了过去学到的那些东西,突然又有了感觉,不能放弃啊,毕竟是当时深爱的东西。

======================================================================================================


昨晚在看教程,拿来了教程里的网页想试试有没有安全问题。页面如下:



发现域名还是存在的,只是换了厂家。

自己比较小白,不懂SQL高端的代码之类的,直接拿来工具啊D,塞进去地址检测。(常见的可以尝试的地址有产品展示之类的图片比较多的地方)


果不其然,出现了两个可注入点。




随便选第一个吧,注入检测成功。

依次再检测表段,字段,内容,十几秒管理员用户名就出来了。




详细看一下用户名也不是常用的admin之类的,只能说纯字母确实不好。不是非常严重的是,没有pwd一项被猜解出来。


后台尝试经常用的地址,manage直接成功。



尝试使用密码admin,admin88,123456等弱口令登陆都失败了。(= =后面才知道自己多白痴)


使用明小子暴力猜解。。结果和用户名一样。。。T_T


然后成功登陆后台。 


此漏洞已于昨晚凌晨上报乌云。


关于SQL的更多参考:

http://blog.csdn.net/csh624366188/article/details/8105217

http://netsecurity.51cto.com/art/200808/87178.htm

http://blog.sina.com.cn/s/blog_640b84590100jamq.html

===============================================================================

 

本文仅供学习研究之用,读者利用所产生的后果概不负责。


我是章鱼烧烧烧
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
小子小子小子小子小子小子
01-30
小子小子小子小子小子小子小子小子小子小子小子小子小子小子小子小子小子小子小子小子小子小子小子小子小子小子小子小子小子小子小子小子小子小子小子小子小子小子小子小子小子小子
小子.rar
09-04
小子安装包。
史上最全的渗透测试面试题,都是干货。
m0_48368237的博客
01-30 7686
1、拿到一个检测的站或给你一个网站,你觉得应该先做什么? 一、信息收集 1.获取域名的whois信息,获取注册者邮箱姓名电话等。 2.通过站长之家、小子、k8等查询服务器旁站以及子域名站点,因为主站一般比较难,所以先看看旁站有没有通用性的cms或者其他漏洞。 3、通过DNS域传送漏洞、备份号查询、SSl证书、APP、微信公众号、暴力破解、DNS历史记录、K8 C段查询、Jsfinder、360或华为威胁情报、证书序列号获取企业域名与ip。 4.通过Nmap、Wappalyzer、御剑等查看服务器操作系统
hdu 4349 Xiao Ming's Hope
lois_123的专栏
07-26 400
原题链接:点击打开链接 (1)。组合C(n,m)的奇偶性:当n&m==m为奇数,反之就是偶数 题意:判断 C(n,0),C(n,1),C(n,2)...C(n,n).有多少个奇数; 思路:(2)N表示成二进制有多少个1,然后就是就是2^sum。 code:#include #include int n; int main() { while(scanf("%d",&n)!=-1)
小子注入,怎么使用呢?
VV13099612171的博客
10-23 1311
大家好!今天我来讲的是怎么使用小子以及拿站的方法! 其实小子使用方法很简单,但是还是有些朋友不知道怎么使用小子小子主要是找注入点非常的方便,傻瓜式操作。这里我就写下新手教程,高手可以跳过哈! 好了不说了 下面看我具体的图文解析!先打开我们的小子,在当前路径这里输入你要注入网站地址,然后连接如下图。如果此网站注入点的话,下面注入点框内会出现红色的注入点地址。 我们任意选中一个地址单击鼠标右键,点击检测注入。 然后点击开始检测按钮后,如下图操作。 最后我们得到网站...
SQL注入原理,啊D小子高手必看! 小子4.1我已上传 可以下载
george的专栏
01-26 4060
废话不多说,不管是工具还是手工注入白原理就可举一反三,文章是小文在几年前写的,但是对整天抱着工具狂扫漏洞的小菜是值得一看,分析下原理,在去入侵思路就会开阔许多/ 随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。
小子4.3.3网站漏洞检测工具
04-11
6.加了一个补针,针对sql注入功能中的一个小BUG。 7.删除了很多没有用的代码,最大限度的优化程序启动速度。 8.更新部分在xpsp3下出错的几个小BUG(小问题小解决,这个错误仅针对部分优化过度的XPSP3系统)。 提记:很...
iis网站服务器+sqlserver数据库服务器安全
02-01
6操作实体进如果不是全表更新最好只更新单独一列的sql,这样效率也好1经常用漏洞扫描,安全检测工具扫描网站服务器(暗组安全杀毒,webscan,wscan等),特别是网站文件所在的文件夹。1如果是IIS服务器的话
小子(网络探测)
09-24
Domain4.3(小子)10.10.10更新版主要更新内容如下: 1.驱除部分死连接,恢复部分官方连接 2.改变默认显示页面为本人BLOG 3.修正程序在检测时出错的BUG 4.修正程序在部分系统中无法启动的BUG 5.加了一个功能模块,但还不成熟,隐藏了,高手的话可以用OD调出来!>!< 6.修复前段时间一些朋友反映的错误和程序宏 7.增加四款SKN皮肤! 10.10.11紧急更新: 1.修正新版程序在部分系统中启动后直接导致系统蓝屏的BUG 2.修正域名查询的几个错误 3.修正程序批量检测查询到域名的时候无反映的BUG! Domain4.2(小子)10.01.16更新版主要更新内容如下: 1.删除所有无关数据 2.优化急速代码 3.改变启动线程 4.增加SQL数据批量导出功能 5.加入几个优化进程模块,非后门.后台运行. 6.锁定主程序栏目宽和高,不在恢复 7.删除“辅助工具”模块中全部代码 8.修正XP SP3 程序下兼容问题 9.重新改写域名查询旁站线程 程序于2010年01月16号调试完毕! 提别提示:第4个功能只能运行在完整版的windows XP 平台系统中,其他平台无法运行,如果出现恢复按钮并不能保存请自行调试与本程序无关.谢谢合作! 宝宝的话:有朋友们的鼓励才会有这个版本的发布,这当是我送给大家2010年里的第一个礼物吧。 Domain4.1(小子)0901更新版主要更新内容如下: 1.增加新系统兼容模块,全面兼容2000-2008各系统 (部分精简版系统除外) 2.优化网站打开速度,删减部分无用内核信息,全面加快程序启动速度. 3.基于09.05.20号内核提升,改变搜查循环的一个死BUG! 4.删除在0520上增加的一个补针函数,并使用新的函数替换.保证不报错. 5.不在兼容xpsp3,因为没时间去修正这个错误。所以可能部分SP3系统运行不起来本程序 6.增加部分程序扩充空格代码,为下个版本更新做好铺垫 小提示:保留旧的IP反查连接系统,原因没有找到新的和稳定的IP反差服务器!如果有能提供的请与本人联系!谢谢合作 Domain4.1(小子)0520更新版主要更新内容如下: 1.基于08.10.01号内核提升,修正一次关键错误。 2.替换原程序自带的那个小马,该为最新美化免杀版的小马! 3.添加一个服务器挂钩程序(非插件),使修改后的新内核兼容vista系统。 4.程序数据库默认名为:SetData.mdb 请大家使用3.5版本以上的MDB数据.其他低版本程序可能不兼容! 5.删除后台下载统计代码(以前没发现,本人也是从网站上面下的软件,排除作者自添加行为) 6.加了一个补针,针对sql注入功能中的一个小BUG。 7.删除了很多没有用的代码,最大限度的优化程序启动速度。 8.更新部分在xpsp3下出错的几个小BUG(小问题小解决,这个错误仅针对部分优化过度的XPSP3系统)。 提记:很多朋友说需要修改下程序IP域名查询功能,这里说下.由于内核找不到关键句柄导致无法更新,下个版本在仔细看看! Domain4.0(小子)1001更新版主要更新内容如下: 1.更新部分过度优化过的系统不兼容问题。 2.修改内存识别函数,使其降低软件在使用期间所占用的内存大小。 3.基于08.09.15号内核提升,修正因修改软件所出现的几个导致软件崩溃的几个BUG。 4.换了软件自带的那个垃圾皮肤。加入兼容美化皮肤!更美观! 5.兼容前版本数据库支持功能 6.去掉了没有用的PHP入侵选项和几处小BUG...... 转贴是一种美德!分享也是一种快乐,工具仅做辅助作用请勿用在非法用途上! 程序自带本BLOG连接,启动比较慢!不喜勿用!谢谢合作! 程序所有权归: <小子> 程序修改:宝宝
小子最新版4.3
08-26
小子最新版4.3软件
小子Domain3.6(官方下载版)
06-09
小子Domain3.6小子Domain3.6小子Domain3.6小子Domain3.6小子Domain3.6
小子扫描后台工具
11-05
这是我用VB编的一个网站后台扫描程序,以前用别的程序扫描总觉不太好用,于是自己写了一个。程度虽然简单,特拿来和大家分享,希望各位用的顺手
自己DIY的无壳无后门清爽的小子旁注工具.并加强了数据库的修改
05-25
自己DIY的无壳无后门清爽的小子.并加强了数据库的修改,提高命中率.38个上传页面.现在改成了290个.后台页面改为450个.原来只有190多. 下了保证你不会后悔.下了不要任意外传.切记.
渗透入侵\Safe3 SQL注入安全检测工具V9.0.zip
07-15
为了防御这种攻击,安全专家们开发了一系列的安全检测工具,其中Safe3 SQL注入安全检测工具V9.0便是其中之一。 Safe3 SQL注入安全检测工具是一款专为Web应用程序设计的自动化检测工具,其主要目标是发现潜在的SQL...
小子 Domain4.3 10.10.10 更新版
04-10
小子 Domain4.3 10.10.10 更新版,主要更新内容如下: 1.驱除部分死连接,恢复部分官方连接 2.改变默认显示页面为本人BLOG 3.修正程序在检测时出错的BUG 4.修正程序在部分系统中无法启动的BUG 5.加了一个功能...
啊D/SQL注入检测工具无限制版
06-02
啊D注入工具是一种主要用于SQL注入工具,由彭岸峰开发,使用了多线程技术,能...选择“注入检测”的“管理员入口检测”,单击“检测管理员入口”,然后选择一个匹配的链接输入检测到的内容,若检测不到,请执行步骤5。
2012最新网站手工注入详解教程
zacklin的专栏
08-15 1619
想起 苦学技术的梯子真是感慨万千,别人在背英语句子,而卧却在背数据库语句,同样都是英文 ,可为啥咱英语成绩还是不及格--    言归正传,现在sql注入工具可谓层出不穷,但是工具毕竟都是人写的,总会有不合适的地方,所以学会手工注入还是很重要的,今天的教程就给大家说说手工注入,新手一起来看,老鸟直接飞过好了。    动态脚本语言(例 asp php aspx jsp等),总会与数据库关联,带
一个yaml格式的sql注入检测脚本
最新发布
09-08
为了编写一个能够检测SQL注入的YAML格式脚本,我们可以使用以下步骤: 1. 创建一个YAML文件,并定义检测脚本的结构。可以使用以下示例作为开始: ```yaml - endpoint: /api/my-endpoint method: GET sql_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值