SQL注入工具大比拼

核心提示： http://www.xinw.cn/show.asp?id=43在Google中利用关键词查询：“新闻 asp?id=43”，取得如下URL：http://www.ectcom.com/ebusiness/Read.asp?ID=43在Google中利用关键词查询

http://www.xinw.cn/show.asp?id=43

在Google中利用关键词查询：“新闻 asp?id=43”，取得如下URL：http://www.ectcom.com/ebusiness/Read.asp?ID=43

在Google中利用关键词查询：“政府 asp?id=43”，取得如下URL：

http://www.netdtzgl.gov.cn/rules/viewrules.asp?id=43

数据代表：

检测不出漏洞 n

猜解表名 a+数目，*无法猜解，+不准确，/无用数据

猜解列名 b+数目，*无法猜解，+不准确，/无用数据

猜解记录 c+数目，*无法猜解，+不准确，/无用数据

检测结果：

ＮＢＳＩ ＨＤＳＩ 啊Ｄ Domain 冰舞 ＣＳＣ ＷＥＤ 数据库

1 a3b4c1 a4b4c2 *** a1++ a1+* *** *** sql,错误关

2 n n a2b3c1 a2b3c1 n /** /** acc

3 a2b3c1 a2++ a2b3c1 a2b3c1 *** a1b1c1 a1b2c1 acc

4 a2b3c2 a2b3c2 a2b3* a2b3* n a1** a1// acc

5 a1b3c2 a1b2/ a1b3* a1b3* a1b2* a1** a1b1/ acc

6 a2b3c5 a2b3c6 a3b3c5 a1** *** a1** a1b1/ acc

7 全部 全部 *** *** *** *** a1b2* sql,错误开

速度 B A A A A A A

综合认定 A B A B D C B

现在，哪一款工具性能更优越，你该很清楚了吧？下面我们就来具体分析一下每一个软件。

测试与评比

1．啊Ｄ

啊D是一款很不错的绿色软件，体积还不到300kb，对于我们在网吧奋战的一族来说真是够体贴了！利用啊D可以得到大部分有注入漏洞的管理员用户名和密码，速度也相当快，结果也很准确。当软件运行一次后，直接修改注入地址就可以进行下一次注入，这是WED，CSC，NBSI，Domain所不能的。功能也比较简单，就是暴密码，找后台，然后通过后台上传WebShell，再进一步提权。但啊D也有很多不足之处：