SQL注入工具大比拼
2008-10-27 16:49:05 来源:WEB开发网核心提示: 1)对某些明明有漏洞的站点检测不出,提示无漏洞,SQL注入工具大比拼(3),此时也只能改用其它软件了,我个人经验认为此时用NBSI比较好,填入的网址并没有跟着跳转,这是个很令人头疼的问题,如果连NBSI都检测不出的话,就只能放弃这个注入点了
1)对某些明明有漏洞的站点检测不出,提示无漏洞,此时也只能改用其它软件了,我个人经验认为此时用NBSI比较好,如果连NBSI都检测不出的话,就只能放弃这个注入点了。
2)对MSSQL数据库错误提示开启时依旧采用了字典穷举的方式,而没有像其它软件采取暴字段的方式,因此速度会很慢而且支持也不是很好,这时要是遇见“***_admin”这类字典里没有表名就有些力不从心了。只会出现几个默认的表。
3)偶尔在穷举密码时会出现“检测长度已超过50……”这样的错误。
实际上并没有,如果换成WED或NBSI的话便可以轻易拿到密码。一般时如果啊D在通用的表下注入成功,那么WED也可以,不过啊D是GUI界面的,一切可控而且由于它提交的是Ascii代码,因此可以暴出中文密码来,这是只通过数字+字母+符号穷举的WEB所不能的。
4)还有一个不足之处就是当我们已经暴到想要的表(如admin),想要进一步暴列,或是暴了列想进一步暴密码时,会发现上一进程并没有停止,我们也没有任何方式让它停下。这些已经不需要的进程很影响破解的速度,使我们无法体验它飞快的感觉。
2。NBSI
NBSI是款老牌注入工具,似乎我们不应该再挑挑拣拣了。它在对MSSQL数据库的注入上已经趋近完美,但我最近却也发现了一个NBSI不能注入,啊D,WEB等也无能为力,但HDSI却可以注入的网址。它在un.org的新闻页面上,有兴趣的朋友可以去看看。
NBSI的其它功能也不错,譬如站点列表功能,虽然我只成功用过一次,但正是那次使我拿下了那个站点。还有命令行工具、后台猜解,提起它们的原因是当我们转向这些页面时,填入的网址并没有跟着跳转,这是个很令人头疼的问题,相信也是很多人弃NBSI去用其它工具的原因。
- ››sql server自动生成批量执行SQL脚本的批处理
- ››sql server 2008亿万数据性能优化
- ››SQL Server 2008清空数据库日志方法
- ››sqlserver安装和简单的使用
- ››SQL Sever 2008 R2 数据库管理
- ››SQL SERVER无法安装成功,sqlstp.log文件提示[未发...
- ››Sql Server中通过父记录查找出所有关联的子记录
- ››SqlServer触发器、存储过程和函数
- ››SQL Server 中的事务(含义,属性,管理)
- ››Sqlite数据库插入和读取图片数据
- ››Sql server 2005拒绝了对对象 'xx表' (数...
- ››Sql server 2005拒绝了对对象 'xx表' (数...
更多精彩
赞助商链接