第一步尋找網站的注入點
可以直接點擊網站中的鏈接如果鏈接地址是上面的形式直接填寫到注入點文本框中
也可以用軟件中的“注入點檢測”在注入點檢測窗口中輸入網址再點擊“連接”按鈕軟件會自動搜索此網站中的可疑注入點但是檢測出來的並不是百分之百都可以注入還可以在注入點檢測窗口打開百度或谷歌在其中輸入關鍵字尋找漏洞例如在搜索框中輸入inurl:newsasp?id=
檢測出來的注入點會出現在旁注檢測窗體的下面列表裡點擊列表中的注入點時會出現一個菜單在選擇菜單中的“注入”此時會將該注入點自動加入到主窗口中的注入點文本框中
第二步檢測注入點
點擊“開始注入檢測”按鈕此時會彈出對話框告訴你注入檢測成功還是失敗如果檢測失敗那麼換一個注入點如果檢測成功則進入下一步
第三步猜解表名猜解列名猜解內容
點擊“猜解表名”按鈕等待猜解結果猜解完畢後如果猜到表名那麼選中一個表名點擊“猜解列名”一般情況能猜解出兩個列名一個是管理員賬號一個是密碼選擇猜解出來的列名點擊“猜解內容”在最下面的文本框中出現猜解結果如果密碼長度是位或的很可能是用MD加密後的結果此時需要打開MD破解網站將MD密文還原回去有破解失敗的可能
第四步掃描後台登陸地址
點擊“掃描後台地址”按鈕會彈出掃描後台窗口點擊“開始掃描”即可存在的頁面會在下面的列表中出現點擊列表中的地址會彈出一個菜單選擇“打開”最後當然是登陸後台了!
注應該先掃描後台如果掃描不到後台登陸地址即使得到賬號和密碼也是沒用的
From:http://tw.wingwit.com/Article/Common/201311/8363.html