WEB旁注入侵檢測(cè)

第一步：尋找網(wǎng)站的注入點(diǎn)
注入點(diǎn)形如：http://www.xxxxxxx.com/abc.asp?id=2
1.可以直接點(diǎn)擊網(wǎng)站中的鏈接，如果鏈接地址是上面的形式，直接填寫到注入點(diǎn)文本框中
2.也可以用軟件中的“注入點(diǎn)檢測(cè)”，在注入點(diǎn)檢測(cè)窗口中輸入網(wǎng)址再點(diǎn)擊“連接”按鈕，軟件會(huì)自動(dòng)搜索此網(wǎng)站中的可疑注入點(diǎn)，但是檢測(cè)出來的并不是百分之百都可以注入。還可以在注入點(diǎn)檢測(cè)窗口打開百度或谷歌，在其中輸入關(guān)鍵字尋找漏洞，例如在搜索框中輸入：inurl:news.asp?id=
檢測(cè)出來的注入點(diǎn)會(huì)出現(xiàn)在旁注檢測(cè)窗體的下面列表里，點(diǎn)擊列表中的注入點(diǎn)時(shí)會(huì)出現(xiàn)一個(gè)菜單，在選擇菜單中的“注入”，此時(shí)會(huì)將該注入點(diǎn)自動(dòng)加入到主窗口中的注入點(diǎn)文本框中。

第二步：檢測(cè)注入點(diǎn)
點(diǎn)擊“開始注入檢測(cè)”按鈕，此時(shí)會(huì)彈出對(duì)話框告訴你注入檢測(cè)成功還是失敗，如果檢測(cè)失敗那么換一個(gè)注入點(diǎn)，如果檢測(cè)成功則進(jìn)入下一步

第三步：猜解表名、猜解列名、猜解內(nèi)容
點(diǎn)擊“猜解表名”按鈕等待猜解結(jié)果，猜解完畢后，如果猜到表名，那么選中一個(gè)表名，點(diǎn)擊“猜解列名”，一般情況能猜解出兩個(gè)列名，一個(gè)是管理員賬號(hào)一個(gè)是密碼，選擇猜解出來的列名，點(diǎn)擊“猜解內(nèi)容”，在最下面的文本框中出現(xiàn)猜解結(jié)果，如果密碼長度是16位或32的，很可能是用MD5加密后的結(jié)果，此時(shí)需要打開MD5破解網(wǎng)站將MD5密文還原回去，有破解失敗的可能。

第四步：掃描后臺(tái)登陸地址
點(diǎn)擊“掃描后臺(tái)地址”按鈕，會(huì)彈出掃描后臺(tái)窗口，點(diǎn)擊“開始掃描”即可。存在的頁面會(huì)在下面的列表中出現(xiàn)。點(diǎn)擊列表中的地址會(huì)彈出一個(gè)菜單，選擇“打開”，最后當(dāng)然是登陸后臺(tái)了！

注：應(yīng)該先掃描后臺(tái)，如果掃描不到后臺(tái)登陸地址，即使得到賬號(hào)和密碼也是沒用的