web 入侵+渗透 检测注入点的工具有 啊D 明小子 WebCruiserWVS JSky 都是可以检测的 还有LZ提到了havij 个人感觉 havij 这个注入工具是针对php and jsp 的 asp 的很难跑出库跟表,还有就是扫描后台LZ用御剑1.5 这里提醒下 御剑1.5 的版本接口被改掉了 御剑已经做了修正 如果大家想用的可以百度 御剑1.5修复接口版的那个版本.... 个人感觉扫描数据库+上传+后台的工具 最好的选择还是wwwscan 很经典也很强大的扫描工具
wwwscan 只用放在C盘下 CMD下 输入相应的命令就可以去干别的事情了
最后说一点 找注入点的 还是手动的比较靠谱 经典的判断 or 1=1,or 1=2 and 1=1 and 1=2 来判断 然后 order by X (x为数字)来找出有几个字段 然后就是联合查询语句了 union select 这里打个比方 order by检测出来有5个字段 那么联合查询语句就可以写成 union select 1,2,3,4,5 回车网页上会回显数字 ,然后就是猜表了 例如表段为admin 那么联合查询语句就可以写成 union select 1,2,3,4,5 from admin 网页同样会回显数字 然后在回显的数字上填入字段 用户名:username 密码:password
例如:网页回显数字为 2 跟4 联合查询语句就可以写成 union select 1,username,3,password,5 from admin
good job
