穿山甲

一，对于目标机的测试SQL注入是否存在就不用说哩。

二，

  1.

    first of all 你需要先有这个玩意

  2.再打开的软件的URL中输入地址

  3.点击工具栏中的绿色三角按钮开始自动检测 SQL 注入漏洞情况。

    从检测结果中可以看到，该网站的 SQL 注入类型为“Integer（字符型）”，后台数据库类型为“MS SQL with Error”

  4.Panglin能够自动检测网页的关键字符串（KeyWord），即网页能否正常显示以及不能正常显示的差异内容。这可以通过“Edit”-“Settings”-“Advance”中的“Auto-analyzing keyword”选项进行设置

5.在主界面中的“Information”选项卡中，点击“Select All”按钮选择所有信息类型，包括下面所列举的“Version”、“Db Name”、“Server Name”等，然后点击“Go”按钮开始探测目标服务器的基本信息

6.在主界面中选择“Data”选项卡，点击左下方的“Tables”按钮来枚举目标当前数据库中存在的所有数据表的名称

6.点击选择数据库中的“admin”表，然后点击下方的“Columns”按钮来枚举该数据表中所有的数据列名。展开“admin”表前面的“+”号可以查看详细的列名信息。

7.选 admin 表中的 id、username 以及 password 列，然后点击右侧的“Datas”按钮则可以枚举该表中的所有数据项内容。

8.在主界面中选择“Command”选项卡，然后在“Command”输入框中输入要在目标机上执行的系统命令，比如“ipconfig”等；在“Type”下拉框中选择执行命令的技术方法，默认为“xp_cmdshell”，其他可选的主要方法有“sp_oa”等。最后点击右侧的“Execute”按钮执行命令，可在下方的黑色文本框中看到执行结果

执行net user命令查看用户

9.在主界面中选择“Dir Tree”选项卡，然后点击“Drivers”按钮列举目标服务器上的所有驱动器。双击“C:\”节点可以进一步展开获得 C:\根目录下的所有子目录和文件，依次可以获得磁盘上的目录结构

双击某一文件，可以在右侧的文本框中显示文件的详细内容

最后，那就nice了，想看啥子自己找啊！！！