本教程主要介紹了使用啊D注入工具,利用.asp網站的SQL注入漏洞注入網站,檢視網站目錄、上傳asp木馬、等滲透的整個過程。
工具/原料
啊D注入工具
asp木馬原始檔
步驟一.檢測網站
如下圖,先將下載好的正版無毒的啊D注入工具開啟,大體上先熟悉啊D的功能佈局,如注意觀察下圖左側的“注入檢測”裡的“SQL注入檢測”、“瀏覽網頁”等功能;“相關工具”選項的功能等,下面會用到。
在下圖的”檢測網址“的欄內輸入要注入的網址,然後點選”注入檢測“裡的”瀏覽網頁“圖示,即可瀏覽該網頁。然後稍等片刻,如圖下方就出現了紅色的”可用注入點“URL。右擊它,選擇注入就行了。
步驟二.SQL注入
接著,在下圖所示的頁面中,點選”檢測表段“,檢測完畢後在選中”admin“,再點選右側的”檢測欄位“;等檢測完畢後,在”admin“和”password“的前面選中方框;最後,點選右側的檢測內容。
稍等一會兒,工具就會檢測出類似下圖所示的內容。雙擊”檢測內容“中的編號2那一行,就會出現下圖的“複製視窗”裡的內容。這樣,就知道了網站後臺的一個賬戶是“admin”,[password]下面的內容為賬戶密碼的MD5值。複製下來,找到線上MD5免費解密網站即可解密。解密成功後,就可以利用“管理入口檢測“功能,找到網站後臺,用得到的賬戶和密碼登入了。
步驟三.目錄瀏覽上傳木馬
如下圖所示,先將啊D切換到”相關工具“選項下,然後點選”目錄檢視“,接著就可以點選”開始檢測“了。然後就如圖所示,進入了對方的c盤下,可以找到對方的網站的絕對路徑,就是網站的檔案在c盤的哪個資料夾下。這裡找到是在c盤web資料夾下。
然後,點選下圖的“CMD/上傳”選項。在圖下面的“檔案上傳”—“本地檔案”選項下選擇自己的asp存放的位置,然後在“目標位置”選擇“c:\web\xiaoma.asp”,點選“上傳”;稍等一會,文字框中出現“內容寫入結束,祝您好運”字樣,就上傳小馬成功了。
最後就如下圖,在IE瀏覽器中輸入小馬的網站相對位置,就可以開啟傳大馬的介面了。
在圖中分別輸入要傳的大馬的絕對路徑和大馬原始碼,點選save,就完成了大馬的上傳。當遇到傳不上去大馬的時候,可以換個大馬原始碼試試。
注意事項
啊D注入工具下載後要用MD5值校驗工具檢驗其值是否和官方釋出的值相同,防止工具攜帶木馬或病毒。
本人才疏學淺,此教程有疏忽遺漏在所難免,請大家多多擔待。