使用明小子进行网页渗透测试-XYCMS企业建站系统2.3（鑫跃教育）

目标服务器：Windows Server 2003 网站： XYCMS企业建站系统2.3（鑫跃教育）

渗透测试机：Windows 7  工具：明小子、MD5Crack

本次实验目标网站

1、运行明小子，在当前路径出输入目标网页路径，然后点击链接，在下方会扫描出注入点。

2、找一个注入点，右键点击检测注入

3、点击开始检测，下方会出现结果，告诉我们数据库的类型和是否可以注入。

4、点击猜解表名，可以猜解数据库中的表，然后选中表，点击猜解列。

5、我们这里需要破解后台的用户名和密码，如图十之八九存放在admin_user表中，我们进行列的猜解。

6、我们看到有3个列，接下来我们就需要猜解列中的内容了。

7、如上图，我们猜解出password的内容了，这里的内容是MD5加密的，我们使用MD5Crack工具进行破解

8、我们破解出密码，然后需要访问网站的后台登录界面，打开刚才的明小子软件，点击管理入口扫描，然后点击扫描后台地址。

9、这个就看运气了，找一些看起来向后台的右键打开连接看看。

10、用我们破解出来的密码进行登录

11、登录成功，实验结束。

读书和健身总有一个在路上