网站注入的全面解析

网站注入的全面解析

　今天给大家介绍一下网站入侵的相关知识，其实也就是常说的脚本入侵。需要事先声明的是，脚本入侵都是针对动态网页来说的，再简单来说，就是在地址栏后缀是以asp，php，jsp，aspx，cfm之类做结尾的，才可以入侵。而Html，Htm或Shtml这类静态页面因为不支持交互功能，是不能用注入来入侵的。言下之意，静态页面也是有办法入侵的。想学的话，我教你呀！！！

　在动态网页的地址后加上"and 1=1"和"and 1=2"分别查看返回信息，如果返回正常则说明该站不可注入，相反则存在可注入的漏洞。但平时我们比较喜欢用工具，注入工具现在有很多，比如Domain3.5注入(明小子)，阿D注入工具,HDSI,网站猎手,NBSI等等。以上提到的只是我个人比较常用的，各有各的长处，但都很不错。比如阿D注入工具在检测注入点方面就优于其他。那我们今天就主要介绍一下阿D注入工具的使用方法。

　它的相关选项如左图。首先是从"扫描注入点"。打开Google进行搜索,尽量使用高级搜索功能。输入关键词。在"全部"输入相应代码。在"完整字句"就随便输了。关键词是至关重要的。在这里就不多说了，也不想说，就看你本事了。搜索后等待，在下方会出现。怎么样，出现了150个注入点，随便双击一个。就会自动来到"SQL注入检测"，然后进行检测。再按照检测表段－检测字段－检测内容的顺序扫描。值得一提的是，在"SQL注入检测"最终检测出的Password很多是MD5加密的。所以还需要破解，现在有很多在线破解的网站，很便捷，成功率也较高。得到需要信息后就单击"管理入口检测"。扫描网站的后台管理地址。然后选择一个打开，输入已知的用户名，密码，登陆就行了。

　成功进入后台后我们就要拿Webshell。方式我只知道两种:1.备份得到Webshell 如果后台有备份选项的话，我们就将已有的网马改成jpg，gif或rar格式的，因为这些格式网站通常都是允许上传的。上传成功后，记录大马的存放路径。然后选择"数据库备份"，在"当前数据库路径"中写入上传大马的路径。备份目录随便填写，备份数据库名称的文件一定要asp或asa格式的。确定后就搞定了。2.抓包得到Webshell 是针对没有备份功能的后台来说的，主要用到的工具是WSockExpert。先上传Asp大马，用来抓取数据，从而进行Cookie欺骗。然后就用到了明小子的"综合上传"功能。做好后，找到上传大马地址就OK了！！

　这是见过的几个不错的后台管理系统。他们对我来说是一种收藏品。我乐于发现更多更好的后台系统。哈哈！！！