手机入侵WAP网站攻略。
2011/10/7 19:48:00 人气 2507 计算机网络论坛手机入侵WAP网站攻略。
只会乱喷和诬蔑的朋友留点口德
WAP网站入侵首要,就是找注入点,下面进入正题:先要找出目标网站的注入点,比方说,http://yshitou.com/bbs.asp?;我们要判断这个网址是否存在着注入,我们编辑一下这个网址,在其后面加上“and 1=1”,也就是http://yshitou.com/bbs.asp? and 1=1,保存后访问一下,如果没有出现页面错误,那么我们可以初步判断出该页面存在着注入点(以上网址纯属假设,实际大家要慢慢找的),接着在网址后面加“and 1=2”,这回出现了错误了,呵呵,这才是我们要的结果。*以上两条件成立,证明网址存在注入点!*入侵第二步:猜表名*刚刚我们找到了网站的注入点了,接下来就是猜表名了(表名是什么就别来问我了,自己多看有关数据库就会懂的),在刚刚那个网址后加上and (s e l e c t count(*) from ***)>0,语句里的“***”就是我们要猜的表名了,如果该表名存在,也就是大于零成立,那么出来的页面不会有差异,反之,出现错误或者成空白页,则该表名不存在!管理员所在数据表名:admin,user,adminuser,manage,administrator等等,还有好多,结合程序设计效率更好,大家自己发挥!*入侵第三步:猜字段名*假设我们猜出该网站存在表名admin,那么我们就要对该表里管理员号和密码进行猜解,只要灵活点也是不难猜的,“and (s e l e c t count(***) from admin),admin是我们猜到的表名,“***”即是我们要猜的字段名了,具体我也列一些出来:user,username,admin,*,pwd,会员,密码,用户,账号等等,大家自己摸索吧!*入侵第四步:猜管理号*手机写教程真的好累,哎,没办法咯,继续我们的入侵,猜完字段名后,我想你可能会想,入侵真的好难哦,猜完这个又猜那个,呵呵,如果你结合社会工程学去猜解,效果会好很多的,依然进行假设,表名admin,账号的字段名为username,密码的字段是*,下面就要猜管理员账号和密码了,过程比较麻烦,大家好好看吧,这次我们在网址后加上and (s e l e c t asc(mid(username,1,1) from admin))>100,访问后页面正常,则说明username的第一位的ascⅡ值大于100,接下来修改为
------------待续
>>
--
[◆ф≮хǐǎσ黑客≯╀落落╁于2011-10-7 19:51:09续贴]:
and (s e l e c t asc(mid(username,1,1) from admin))<150,访问后正常,则说明username的第一位的ascⅡ小于150,就这样慢慢缩小范围,直到确定为一个数字为止,猜出来的ASC码还要进行转换,ASC进制表百度有,我就不多说了,后面的*猜解流程也同上,不懂就多看几次!*入侵第五步:猜后台登录页面*经过长时间猜解后,我们终于得到了username和*的所有内容了,最后就是要找一下人家网站后台地址了,不然我们前面所做的就没意义了,呵呵,一般后台地址都是该网站域名后加上admin/login.asp,这个要根据自己入侵的经验去猜的,提醒大家一句:提防一下假后台,之前我就碰到过一个假后台,因为某些原因我就不提了。*好了,入侵WAP网站到此结束,我们所学的仅仅是技术,而不是为了某种利益或者报复,不听劝告者后果自负!与本人无关!
------------
>>文明回复
<<素质评论
--------
只会乱喷和诬蔑的朋友留点口德
WAP网站入侵首要,就是找注入点,下面进入正题:先要找出目标网站的注入点,比方说,http://yshitou.com/bbs.asp?;我们要判断这个网址是否存在着注入,我们编辑一下这个网址,在其后面加上“and 1=1”,也就是http://yshitou.com/bbs.asp? and 1=1,保存后访问一下,如果没有出现页面错误,那么我们可以初步判断出该页面存在着注入点(以上网址纯属假设,实际大家要慢慢找的),接着在网址后面加“and 1=2”,这回出现了错误了,呵呵,这才是我们要的结果。*以上两条件成立,证明网址存在注入点!*入侵第二步:猜表名*刚刚我们找到了网站的注入点了,接下来就是猜表名了(表名是什么就别来问我了,自己多看有关数据库就会懂的),在刚刚那个网址后加上and (s e l e c t count(*) from ***)>0,语句里的“***”就是我们要猜的表名了,如果该表名存在,也就是大于零成立,那么出来的页面不会有差异,反之,出现错误或者成空白页,则该表名不存在!管理员所在数据表名:admin,user,adminuser,manage,administrator等等,还有好多,结合程序设计效率更好,大家自己发挥!*入侵第三步:猜字段名*假设我们猜出该网站存在表名admin,那么我们就要对该表里管理员号和密码进行猜解,只要灵活点也是不难猜的,“and (s e l e c t count(***) from admin),admin是我们猜到的表名,“***”即是我们要猜的字段名了,具体我也列一些出来:user,username,admin,*,pwd,会员,密码,用户,账号等等,大家自己摸索吧!*入侵第四步:猜管理号*手机写教程真的好累,哎,没办法咯,继续我们的入侵,猜完字段名后,我想你可能会想,入侵真的好难哦,猜完这个又猜那个,呵呵,如果你结合社会工程学去猜解,效果会好很多的,依然进行假设,表名admin,账号的字段名为username,密码的字段是*,下面就要猜管理员账号和密码了,过程比较麻烦,大家好好看吧,这次我们在网址后加上and (s e l e c t asc(mid(username,1,1) from admin))>100,访问后页面正常,则说明username的第一位的ascⅡ值大于100,接下来修改为
------------待续
>>
--
[◆ф≮хǐǎσ黑客≯╀落落╁于2011-10-7 19:51:09续贴]:
and (s e l e c t asc(mid(username,1,1) from admin))<150,访问后正常,则说明username的第一位的ascⅡ小于150,就这样慢慢缩小范围,直到确定为一个数字为止,猜出来的ASC码还要进行转换,ASC进制表百度有,我就不多说了,后面的*猜解流程也同上,不懂就多看几次!*入侵第五步:猜后台登录页面*经过长时间猜解后,我们终于得到了username和*的所有内容了,最后就是要找一下人家网站后台地址了,不然我们前面所做的就没意义了,呵呵,一般后台地址都是该网站域名后加上admin/login.asp,这个要根据自己入侵的经验去猜的,提醒大家一句:提防一下假后台,之前我就碰到过一个假后台,因为某些原因我就不提了。*好了,入侵WAP网站到此结束,我们所学的仅仅是技术,而不是为了某种利益或者报复,不听劝告者后果自负!与本人无关!
------------
>>文明回复
<<素质评论
--------
χψω||‖‖||*有问题请内信.★你懂的●◆■★钻,?●穿越,?◆黑客技术,?■
发表回复