黑客攻防专题九:菜鸟 Sa 注入=肉鸡

获取注入点的方法不外乎两种:手工寻找和利用注入工具寻找。对于前者,多数是用搜索引擎来找特定的网址(形如xxx.asp?xxid=),对于后者,则是针对具体某个站点用注入工具扫描注入点。不过,你有没有考虑过把这两种方法结合起来使用呢?我就倾向于二者的组合使用,方法如下:

    在阿D注入工具中的“扫描注入点”功能模块的地址栏里输入并转到google的网址,选择“高级搜索”,在搜索结果栏中选择“100项结果”,语言选择“简体中文”,关键字填:xxx inurl:asp或是inurl:XX.asp?id=、inurl:xxx.asp?xxid等,这些都是我们常见的可能存在注入点的网址形式,我输入的是ert inurl:asp(有人说这个关键字容易找到sa权限,不知是真是假,但我确实找到了不少)。点击搜索后,在注入点一栏中马上就会显示出N多的有注入点的网址。

你可能感兴趣的:(职场,黑客,休闲,专题)