今天为大家做一个网站入侵方面的教程,比较简单,用的是现在比较流行,但杀伤力很大的注入漏洞,好了,废话少说,开始。
用到的工具是:啊D注入工具包。如图
今天的目标是
http://www.ycwst.com/kx/,
1,首先在检测网址的方框里,填入上面的这个网址,然后回车,这时工具会自动帮我们分析网站所有的注入点。并会在可用注入点中以红色的网址显示出来,我们随便挑一个,然后右键单击,选择“注入检测”。软件会跳转到注入检测的窗口。
2,在注入检测的窗口中,我们点击网址后的“检测”。这时,啊D会首先分析网站的数据库类型,我们可看到这个网站的类型为access。分析出数据库后,接下来我们点击“检测表段”,很快便会在下面的方框里显示出“users,board,以及config"等表段,因为是寻找网站的后台管理员的帐号密码,所以我们点击“users”,接下了点击“检测字段”,很快我们便会看到下面的内容,把“username,userspwd'选上,点击“检测内容”,网站后台的管路员的帐号,密码都会显示出来。帐号:yckx 密码:d4efcb383b85e345,这种密码是md5加密的16位密码,并不 可以输入,如图
3,这种情况下我们就要上专门的解密网站,
http://www.xmd5.org/index_cn.htm,如图,我们输入md5密码,然后按“给我转”便可以了,不过这个网站的md5能破解的只是一些比较常用的密码,要真是在入侵中遇到复杂的md5密码时,也可用软件爆破,不过速度比较慢。
4,接下来就要进网站的后台了,我们点击“管理员入口检测”便可以了,之后打开,然后输入帐号密码就成功的进了网站的后台。
利用注入漏洞入侵网站已成为现在入侵的一种最快,最有效的方法之一,比较简单。可以说网上存在这种漏洞的网站真不是少数,新浪就曾存在过一个比较有名的注入点,成为一个笑柄,最后希望大家不要破坏网站的数据。再见!以后在和大家做简单的入侵教程。
微博帐号登录