sql注入工具大比拼

《sql注入工具大比拼》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、SQL注入工具大比拼～教育资源库　　前言　　随着ASP的日趋成熟，各种检测工具也逐渐流行了起来。如今，几乎每一个学习黑客的网迷手里都有一款或几款得心应手的注入工具。但我通过群了解到，有相当一大部分人认为这些工具的注入手法是相同或相近的。其实这种说法只说对了一部分，在提交and1=１、and１＝２进行漏洞判断时，这些软件所使用的方式的确是一样的，但接下来在猜解表名、猜解列名、猜解记录上，各软件所用的方式方法却不尽相同。　　为了使菜鸟们能够更清楚的了解各软件的注入强点和注入弱点，以便物尽其用。本人特摘取啊D、NBSI、HDSI、SSQL数据库错误提示开启时依旧采用了字典穷举的方式，而

2、没有像其它软件采取暴字段的方式，因此速度会很慢而且支持也不是很好，这时要是遇见***_admin这类字典里没有表名就有些力不从心了。只会出现几个默认的表。　　3）偶尔在穷举密码时会出现检测长度已超过50这样的错误。　　实际上并没有，如果换成SSQL数据库的注入上已经趋近完美，但我最近却也发现了一个NBSI不能注入，啊D，WEB等也无能为力，但HDSI却可以注入的。它在un.org的新闻页面上，有兴趣的朋友可以去看看。　　NBSI的其它功能也不错，譬如站点列表功能，虽然我只成功用过一次，但正是那次使我拿下了那个站点。还有命令行工具、后台猜解，提起它们的原因是当我们转向这些页面时，填

3、入的并没有跟着跳转，这是123下一页友情提醒：，特别！个很令人头疼的问题，相信也是很多人弃NBSI去用其它工具的原因。　　另外NBSI有时会出现int13变量错误或页面转向，是否重试的提示。　　当后者出现时还可以直接按确定不管它，但若是前者，只能乖乖把程序重启一遍了。另外暴不出数据也是个难题，如图4所示。　　而且NBSI的体积也太大了些，差不多要和啊D、CSC、D下运行，但在浩做成了GUI页面的启动后，便显得更加完美了。只是在复制密码时不是很方便，若是32位的另外in这种情况，这时把数据先记下来，然后重新注入一次。一般会得到正确的密码或形如adm*n等，而此时你根据记录的a*mi

4、n就应该推测出密码为admin。　　ain　　在这里抓个图给大家看，至于评点，呵呵它和啊D很像，你们看我对啊D的评点吧！另外通过那张测试表，你们也应该能对比出点什么。　　总结　　其实注入也是门学问，即使我们用工具也会长不少见识。　　看出什么了么？对了！它的name字段并不是有用的数据，有用的数据在应该为表示序列的uid中。这次检测e字段，所以最终以失败而告终。而用啊D等工具的朋友是不是也会在没有去暴uid时面对那奇怪的name而发楞呢？是啊！人的思想是奇妙的，希望读者能从本文中读到文章中没有的东西，呵呵。　　最后把NBSI和HDSI对于确定服务器信息的几行重要的提交代码在这里公布

5、一下，希望软件编程人员能从中总结点什么：HDSI/rules/viee()%2Bchar(94))>0/rules/viein')%20as%20varchar(1))=1/rules/viee()%2Bchar(94)=0NBSI/rules/viewrules.asp?id=43/rules/viewrules.asp?id=43%20and%20user%2Bchar(124)=0上一页123下一页友情提醒：，特别！/rules/vie%20[sysobjects])>=0/rules/viee()%2Bchar(124)=0　　好了，文章写完了，希望能

6、为广大新手朋友带来一些帮助上一页123友情提醒：，特别！