黑客攻防篇-SQL注入攻擊與防范課件_第1頁
黑客攻防篇-SQL注入攻擊與防范課件_第2頁
黑客攻防篇-SQL注入攻擊與防范課件_第3頁
黑客攻防篇-SQL注入攻擊與防范課件_第4頁
黑客攻防篇-SQL注入攻擊與防范課件_第5頁
已閱讀5頁,還剩15頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

黑客攻防秘技實戰(zhàn)解析(第2版)SQL注入攻擊與防范♂SQL注入攻擊前的準備♂‘or’=‘or’經典漏洞攻擊♂缺失單引號與空格的注入♂Update注入與差異備份的攻擊♂SQL注入攻擊的防范SQL注入攻擊前的準備攻擊前的準備尋找攻擊入口判斷SQL注入點類型判斷目標數據庫類型尋找攻擊入口在IE瀏覽器中手工搜索ASP或PHP注入點的具體步驟如下:步驟2:在“字典位置”欄目的“查詢字典位于”下拉列表中選擇“網頁的網址”選項;在“包含全部的字詞”文本框中輸入“asp?id=”。單擊【google搜索】按鈕即可看到所有網址含有中“asp?id=”的網頁,如圖7-13所示。只需將搜索關鍵詞改為“php?id=”,即可掃描PHP注入站點,其搜索結果如圖7-14所示。缺失單引號與空格的引入轉換編碼,繞過程序過濾國內主流郵箱跨站漏洞

1.declare與OX6e編碼

2.使用SQLInjeceEncode二次編碼工具/**/替換空格的注入攻擊

1.漏洞代碼分析

2.根據出錯信息判斷數據庫類型

3.破解管理員密碼破解管理員密碼獲得管理員用戶名的具體操作步驟如下:步驟1:在攻擊前需要確定論壇的管理員用戶名。沒有注冊的用戶可以查看到論壇各版區(qū)的版主,但卻不知道哪個是管理員。需要先在攻擊目標論壇注冊一個用戶名并登錄,其登錄頁面如圖7-46所示。

步驟2:在登錄頁面中輸入自己剛注冊的用戶名和密碼,單擊【登錄】按鈕,即可打開進入過渡頁面,如圖7-47所示。單擊“返回首頁”超鏈接,即可進入論壇首頁,在其中可以看到此時論壇中各種信息,如圖7-48所示。破解管理員密碼獲得管理員用戶名的具體操作步驟如下:步驟4:單擊頁面中的【用戶列表】鏈接按鈕,即可打開用戶列表頁面,如圖7-49所示。

步驟5:在“用戶搜索”中將“搜索范圍”設置為“管理團隊”選項,可以看到論壇管理員用戶名,這里管理員用戶名為“admin”,如圖7-50所示。破解管理員密碼利用工具“dv_boke.exe”來檢測管理員密碼,從而大大提高檢測速度。具體的使用步驟如下:

步驟1:運行dv_boke.exe工具,在“地址”文本框中輸入論壇博客程序的漏洞文件,一般為“http://論壇地址/boke.asp”,這里為“/boke.asp”;在“用戶名”文本框中輸入管理員的博客用戶名,如圖7-55所示。步驟2:單擊【開始】按鈕,即可看到“嘗試獲取密碼,請耐心等待”信息提示框。單擊【確定】按鈕,即可開始自動破解管理員的密碼,如圖7-56所示。待猜解完畢后,則會在“結果”文本框中顯示猜解到得管理員用戶密碼。SQL的注入攻擊用“啊D-SQL注入程序”實施注入攻擊使用NBSI實現(xiàn)SQL注入攻擊

使用Domain實現(xiàn)SQL注入攻擊12使用NBSI實現(xiàn)SQL注入攻擊使用NBSI可檢測出網站中是否注入漏洞,也可進行注入攻擊,具體的實現(xiàn)步驟如下:步驟2:在“注入地址”文本中輸入要掃描的網站地址并選擇“快速掃描”單選項。單擊【掃描】按鈕,即可開始進行掃描。如果該網站存在注入漏洞,則會在掃描過程中將這些漏洞地址及其注入性的高低顯示在“掃描結果”列表中,如圖7-75所示。在“掃描結果”列表中單擊要注入的網址,即可將其添加到下面的“注入地址”文本框中,如圖7-76所示。

使用NBSI實現(xiàn)SQL注入攻擊使用NBSI可檢測出網站中是否注入漏洞,也可進行注入攻擊,具體的實現(xiàn)步驟如下:步驟4:單擊【注入分析】按鈕,即可進入【注入分析】窗口中,在其中勾選“get”復選框,在可以在“特征符”文本區(qū)域中輸入相應的特征符,如圖7-77所示。步驟5:單擊【檢測】按鈕,即可對該網址進行檢測,其檢測結果如圖7-78所示。這里得到的是一個數字型+Access數據庫的注入點,ASP+MSSQL型的注入方法與其一樣,都可以在注入成功之后去讀取數據庫的信息。使用NBSI實現(xiàn)SQL注入攻擊使用NBSI可檢測出網站中是否注入漏洞,也可進行注入攻擊,具體的實現(xiàn)步驟如下:步驟6:在“已猜解表名”欄目中單擊【猜解表名】按鈕,即可打開【SI提示信息】提示框,在其中可以看到該網站的數據庫類型等信息,如圖7-79所示。步驟7:單擊【確定】按鈕,即可開始對該網站數據庫進行猜解。待猜解完畢之后,將會在“已猜解表名”文本框中顯示出猜解出的數據表的表名,如圖7-80所示。使用NBSI實現(xiàn)SQL注入攻擊使用NBSI可檢測出網站中是否注入漏洞,也可進行注入攻擊,具體的實現(xiàn)步驟如下:步驟8:在選中要猜解的數據表后,單擊【猜解列名】按鈕,即可得到該表所包含列名的詳細信息,如圖7-81所示。在其中勾選要猜解列名前面的復選框,單擊【猜解記錄】按鈕,即可得到該列中包含的詳細信息,如圖7-82所示。使用NBSI實現(xiàn)SQL注入攻擊使用NBSI可檢測出網站中是否注入漏洞,也可進行注入攻擊,具體的實現(xiàn)步驟如下:步驟9:在【NBSI】主窗口的工具欄中單擊【掃描及工具】按鈕

,即可打開【掃描及工具

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論