危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览18982274

注入Safe3 SQL

长期以来,广大危险漫步的粉丝们在注入检测时所使用的工具无非就是啊D、明小子和穿山甲、HDSI等几个软件(尤其是前两个的出镜率可以说是最高的)。有时对于同一个目标网站的注入检测,不同工具的最终报告可能会有所出入(甚至是截然相反的);因此有黑客建议我们初学者应该互补使用多个工具来进行注入检测,效果可能会更好。最近我无意之中入手了一个注入安全检测工具--Safe3 SQL(或许大家早已有所耳闻),中英文破解9.0版(Crack By Lkou[LCGl),试用了一下之后发现在检测注入方面表现很不错。

做个小检测吧,在“中国被黑站点统计系统”中找个最新被暴的黑页,虽然检测者所挂的黑页上明明白白写着“网站漏洞已补!”,但检测之后发现注入漏洞依旧。这是西安某工程有限公司的网站,通常这样的企业网站存在注入漏洞的几率是比较大的,点击“产品展示”中某项打开其链接,复制粘贴到Safe3 SQL上方的“网址”后,接着点击后面的“注入”按钮即可开始检测。Safe3 SQL很容易上手,与明小子差不多,比如在点击了“获取表名”按钮之后猜解出包括admin在内的三个表;接着点击admin再点击后面的“获取字段名”,猜解出包括“password”和“username”在内的五个字段;按住Ctrl键点击“password”和“username”后,再点击后面的“获取数据”按钮,最后就得到了两条记录:7a57a5a743894aOeladmin、84c45962d887564fl xabuild12,破解后的密码分别是“adm/n”和“admin123456”。附带说明一句:明小子在检测这个注入点时提示“检测失败,该URL不可以进行注入!”,啊D则是提示“这个连接不能SQL注入!请连别的连接!”

是否正确呢?验证一下便知。打开该网站的后台,用admin/admin尝试登录,成功,说明Safe3 SQL的注入猜解是完全正确的(前辈竟然将标题更改成“无语还是默认密码”!)。当然,Safe3 SQL还有其它好多功能,比如自带了浏览器,MD5密码破解和旁注检测等等,其中还有一个“漏洞挖掘”功能很不错,类似于啊D的“扫描注入点”——能够在自身浏览器中自动寻找目标网站的可能注入点。Safe3 SQL更多的功能应用,大家可自行研究。

怎么样,有这样给力的工具放着不用,是不是有点儿可惜啊?试一下吧,相信Safe3 SQL是不会让你失望的。

相关推荐