一,对于目标机的测试SQL注入是否存在就不用说哩。
二,
1.
first of all 你需要先有这个玩意
2.再打开的软件的URL中输入地址
3.点击工具栏中的绿色三角按钮开始自动检测 SQL 注入漏洞情况。
从检测结果中可以看到,该网站的 SQL 注入类型为“Integer(字符型)”,后台数据库类型为“MS SQL with Error”
4.Panglin能够自动检测网页的关键字符串(KeyWord),即网页能否正常显示以及不能正常显示的差异内容。这可以通过“Edit”-“Settings”-“Advance”中的“Auto-analyzing keyword”选项进行设置
5.在主界面中的“Information”选项卡中,点击“Select All”按钮选择所有信息类型,包括下面所列举的“Version”、“Db Name”、“Server Name”等,然后点击“Go”按钮开始探测目标服务器的基本信息
6.在主界面中选择“Data”选项卡,点击左下方的“Tables”按钮来枚举目标当前数据库中存在的所有数据表的名称
6.点击选择数据库中的“admin”表,然后点击下方的“Columns”按钮来枚举该数据表中所有的数据列名。展开“admin”表前面的“+”号可以查看详细的列名信息。
7.选 admin 表中的 id、username 以及 password 列,然后点击右侧的“Datas”按钮则可以枚举该表中的所有数据项内容。
8.在主界面中选择“Command”选项卡,然后在“Command”输入框中输入要在目标机上执行的系统命令,比如“ipconfig”等;在“Type”下拉框中选择执行命令的技术方法,默认为“xp_cmdshell”,其他可选的主要方法有“sp_oa”等。最后点击右侧的“Execute”按钮执行命令,可在下方的黑色文本框中看到执行结果
执行net user命令查看用户
9.在主界面中选择“Dir Tree”选项卡,然后点击“Drivers”按钮列举目标服务器上的所有驱动器。双击“C:\”节点可以进一步展开获得 C:\根目录下的所有子目录和文件,依次可以获得磁盘上的目录结构
双击某一文件,可以在右侧的文本框中显示文件的详细内容
最后,那就nice了,想看啥子自己找啊!!!
网友评论