sql注入网站,登录后台

1. 先通过“傀儡注入工具”搜索出网站;

    选择搜索内容,搜索可以注入的网站,标志“?id=1&id=2”,表示有可能存在注入漏洞;


 

2. pangolin进行sql注入,并获取账户密码;

使用pangolin猜解数据库结构,并逐渐获取管理员账户密码;

注意:有可能存在,能注入,但可能存在其他防止注入的网络设备,所以可能只能获取数据库信息,而无法进行密码账户获取;

比如,这次就是,虽然后来就有成功获取到账户密码的案例,可是涉及危险信息,不方便透露;

 

3. md5在线破解工具,猜解密码;

获取到的账户一般是明文,密码为md5加密,解密即可;

 

4. 用御剑扫描后台登录网页;

使用御剑扫描网站,探测后台登录界面,有时候此工具不好用,多尝试几种扫描域名的网站,比如

URL批量采集器;

Layer子域名挖掘机3.1等(实际此类工具都是枚举网络字段进行猜解子域名)

 

5. 用账户名和密码登录;

扫描到后台,登录即可拿到管理员权限;


谢谢观看;

 有问题可留言,不定期解答;

 

展开阅读全文

没有更多推荐了,返回首页