王者風范 2分鐘入侵網站全程實錄

　　更多內容：黑客技術應用專區

　　說起流光、溯雪、亂刀，可以說是大名鼎鼎無人不知無人不曉，這些都是小榕哥的作品。每次一提起小榕哥來，我的崇拜景仰就如滔滔江水，連綿不絕~~~~（又來了！） 讓我們崇拜的小榕哥最新又發布了SQL注入工具，這回喜歡利用SQL注入入侵網站的黑友們有福了。小榕哥的工具就是強！偶用它來搞定我們本地的信息港，從尋找注入漏洞到注入攻擊成功，通過准確計時，總共只用了3分還差40秒，呵呵，王者風范，就是強啊！不信嗎？看看我的入侵過程吧。  

　　一、下載榕哥的工具包

　　小榕哥的這個SQL注入攻擊工具包在榕哥的站點http://www.netxeyes.com/main.html可以下載到，不過這個工具太火爆了，下載的人實在太多，你覺得慢的話，可以到其它大的黑軟站點搜索一下，絕對可以找到的。

天極軟件專題專區精選 Windows Vista專區 POPO專區 QQ專區　QQ掛機 注冊表專區 Windows優化 Flash MX 視頻教程 Photoshop視頻教程 網頁設計視頻教程 照片處理數字暗房 PPT動畫演示教程 Excel動畫教程集 Word動畫演示教程 Google專區 特洛伊木馬專區 黑客知識教程專區 防火牆應用專區 了解Web2.0 Windows API開發專區 網絡編程專區 VB數據庫編程專區 圖像處理與多媒體編程
　　下載來的這個工具包中總有兩個小程序："wed.exe"和"wis.exe"，其中"wis.exe"是用來掃描某個站點中是否存在SQL注入漏洞的；"wed.exe"則是用來破解SQL注入用戶名密碼的。兩個工具的使用都非常簡單，結合起來，就可以完成從尋找注入點到注入攻擊完成的整個過程。

　　二、尋找SQL注入點

　　"wis.exe"使用的格式如下："wis.exe 網址"，這裡以筆者檢測本地信息港為例：首先打開命令提示窗口，輸入如下命令："wis.exe http://www.as.***.cn/"（如圖1）。

　　小提示：在輸入網址時，前面的"http://";和最後面的"/"是必不可少的，否則將會提示無法進行掃描。

　　輸入完畢後回車，即可開始進行掃描了。很快得到了掃描結果，可以看到這個網站中存在著很多SQL注入漏洞（如圖2），我們隨便挑其中一個來做試驗，就挑"/rjz/sort.asp?classid=1"吧。

　　打開浏覽器，在地址欄中輸入"http://www.as.***.cn/rjz/sort.asp?classid=1"，打開了網站頁面，呵呵，原來是一個下載網頁（如圖3）。現在來對它進行SQL注入，破解出管理員的帳號來吧！

123下一頁閱讀全文