网络安全和数据安全:资讯、技术、法规、趋势。

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:389710688) ,欢迎各位同仁加入!有其它问题,请联系站长“网路游侠”,QQ:55984512


旁注入侵专用程序——让菜鸟也肉鸡成群

2008-02-28 19:04 推荐: 浏览: 82 字号:

摘要: 在网上常常听到菜鸟吆喝:各位大侠,俺怎么才能拥有一只自己的肉鸡啊? 嘿嘿,还叫的悲悲切切的,要俺听了心里怪同情的,要不俺现在就给各位小菜介绍个快速拿到肉鸡的方法吧,且听游侠道来:俗话说,心急吃不得热豆腐,今天俺就要和各位小菜一起吃一次“快餐热豆腐&...

在网上常常听到菜鸟吆喝:各位大侠,俺怎么才能拥有一只自己的肉鸡啊?

嘿嘿,还叫的悲悲切切的,要俺听了心里怪同情的,要不俺现在就给各位小菜介绍个快速拿到肉鸡的方法吧,且听游侠道来:俗话说,心急吃不得热豆腐,今天俺就要和各位小菜一起吃一次“快餐热豆腐”!

好了,不说费话了,否则各位小菜等不及了,估计老编也准备扣俺的口水费了hoho

打开软件,相信各位菜鸟也知道怎么用吧?图1

我们用www.nohack.cn做要查询的域名吧,各位编辑不要K我啊,俺只是做个例子而已,当然各位菜鸟也坚决不能打杂志网站的坏主意,要拿日本鬼子的开刀,知道不?^_^

点“查询”,看到了很多网站都在这个主机对吧?虚拟主机嘛,当然一个服务器有n个网站,要不卖空间的就没法活下去了。明小子的旁注入侵专用程序做的很人性化,我们可以看到在左侧我点击过的域名都在后面有个“√”,特别照顾我这样子脑子不好的人呵呵

当这个页面完全打开之后,注意窗口的最下面,有个“注入点”选项,体贴人吧?你打开页面的同时就完成了对这个网站的注入“踩点”工作,效率蛮高的哦^_^随便找一个,点右键选择“检测注入”进入SQL注入功能页面。图2

相信每一个熟悉“NBSI”的人都不会对这个界面陌生吧!不过明小子的工具比NBSI人性化,大家可以看到这个界面没有“特征字符”选项,少了一道工序,最适合我这样子的懒人了,但是各位小菜挺好了:如果有能力就去手工注入——劳动最光荣!俺可以在五一假期写这个教程的哦。

操作步骤:

1、开始检测;

2、猜解表名;

3、猜解列名;

4、猜解内容。

至于其它的一些东西,界面随着你每一步的操作都有相应的提示和显示,俺就不多说了,要不就是在浪费各位菜鸟宝贵的时间、是在欺骗老编的稿费——是大罪!俺罗嗦一点点:即使猜解出用户名和密码也不要做破坏,四海是一家!要一致对外。

再看看“综合上传”,很强大吧?动网、动力、乔客,还有一个允许自定义的选项,可以充分发挥你的聪明才智了!图3

具体的操作很简单,网上也有相关教程,本着“授人以鱼不如授人以渔”的原则,游侠建议你对不明白的地方去google或者百度搜索,你会发现互联网本身就是极好的老师!

还有“数据库管理”,不得不提!实在是方便在网吧入侵的各位朋友啊图4

比较有特色的,这个工具不仅可以打开原有的数据库,还可以新建一个数据库,并且数据库支持SQL命令查询,拿来联系SQL命令也不错呵呵

“工具”菜单下面,还有“MD5”加密工具:图5

同时支持16位和32
位的MD5,在破解的时候,活着需要修改数据库密码的时候有用!我们来看看“破解工具”图6

可以看到旁注入侵专用工具现在(或在短暂的将来)支持MD5密文破解、Serv-U密码破解、Access数据库和PcAnyWhere密码破解,当然因为时间的关系,明小子还没有开发完所有的功能,相信在大家拿到这期杂志的时候就差不多了吧!给明小子加油!

由于这款软件使用比较容易上手,我也不想说太多,其实软件功能非常强大,比如SQL注入里面,可以批量扫描注入点、还有MSSQL辅助工具,检测设置区更是可以自定义项目:图7

另外,“辅助工具”里面有针对BbsXp的攻击、BbsXp爆库、PHPWindOfstarL-BlogPHPBB的利用工具,并且“PHP注入”栏目还没有完成,期待中……

大家利用旁注入侵工具拿到webshell之后,再稍微努力下,用Serv-UPcAnywhere这些工具拿到主机的管理权限并不是难事,何况这两个密码破解明小子的工具已经包括了!

好了,现在开始行动,找肉鸡去喽!

发表于:2005年《非安全·暑假特刊》

如承蒙转载请注明发表于该期杂志,以及作者姓名,谢谢合作!

作者:张百川 (网名:网路游侠) https://www.youxia.org

联系站长租广告位!

中国首席信息安全官
Copy link