明小子3.5检测网站应用

明小子3.5应用篇,让你瞬间拿WEBSHELL

1．查询一台服务器下所有的网站域名。为什么要这样做呢？因为，比如你想入侵一个网站，但是这个网站本身没有漏洞，那么你可以通过入侵这台服务器上的其它网站，拿到管理权限之后，这样整台服务器都在你的掌握控制之中了。然后就可以对你入侵你想入侵的站点了。这是非常重要的，这是实现跨站攻击的重要手段。下面我就讲解入侵网站过程的第一步“查询一台服务器下所有的网站域名”我拿来讲解的工具名称是“Domain3.5”大家可以自己搜索进行下载。软件打开后界面如下图所示：

首先，我们在“输入域名”这里输入www.hackbase.com然后点击接着会在它右边的框出现这个网站所在的服务器的IP地址，接着点击“查询”最后就在左下方出现这台服务器下所有的网站域名。结果如下图：

假如www.hackbase.com没有漏洞，我们可以通过上面的其它网站进行入侵，然后拿到管理权限，这样我们就可以控制整个服务器，那么www.backbase.com也不在话下了。

2．批量扫描注入点。就是有些网站，它没有过滤一些变量，从而会有些注入点。我们对动态网站的入侵关键就是靠这些注入点去拿权限。如果用手工去查询注入点的话，那是非常慢的，所以我们还是用Domain3.5这个工具来批量查询注入点。步骤如下：

首先随便选中一个站点，如下图：

然后选中“SQL注入”选项，如下图：

图4

点击“批量扫描注入点”然后点击“载入查询网址”然后点击“批量分析注入点”这是一个非常慢的过程，所以大家要耐心等待。有些站不一定就能扫描出注入点的。所以大家需要多多尝试。

下面我以一个台湾的网站来做演示，首先我们先打开Domain3.5这个软件，然后在“输入域名”这里输入http://www.hiwong.com.tw接着点然后点击“SQL注入”接着点“批量扫描注入点”然后点“添加网址”弹出如下窗口：

图5

然后输入“http://www.hiwong.com.tw”接着点“OK”然后点击“批量分析注入点”结果如下图6：

图6

大家可以看到，这个网站有两个注入点，我们拿第一个注入点来做演示吧。对着第一个注入点单击鼠标右键，弹出如下选项：

图7

点击“检测注入”弹出如下窗口：

图8

接着点击“开始检测”，结果如下图：接着点击“开始检测”，结果如下图：

图9

好了，批量注入的内容是到这里了，下面我们接触到的就是第3点内容了也就是“SQL注入猜解检测”。大家从上图的结果可以知道，我们猜解出来的数据库是ACCESS数据库，下面我们要猜解这个数据库的表名。

我们点击“猜解表名”结果如下图：

图10

从上图可看出，猜解出两个数据表，分别是“admin”和“member”。接着我们选中“admin”这个数据表，然后点击“猜解列名”。结果如下：

图11

由上图大家知道，我们已经猜解出admin这个数据表中有三个列，分别是admin_name,admin_pwd,admin_id。他们的意思一般来说分别是：管理员名称，管理员密码，管理员ID号。接着我们把这三个列都选中，然后然后“猜解内容”项就由灰色变成黑色，然后我们点击它。结果如下：

图12

因为猜解速度很慢，所以这里没猜解完毕我就停止猜解了。大家主要是掌握这个方法就可以了。如果猜解完毕的话，在上图的界面可以看到admin_pwd,admin_id，admin_name的内容。我们就可以拿这些用户和密码登陆该网站的后台了。下面要讲的就是第4点也就是“管理入口扫描”。首先我们点击“管理入口扫描”后所得窗口如下：

图13

着选中“从主机地址开始扫描”选项，然后点击“扫描后台地址”如果能扫描到的话就会在“存在连接：[右键打开]”这里显示。如果扫描不到的话，我们就点击“检测设置区”转到如下界面：

图14

我们需要在“后台地址”这里手动添加一些地址，点击“添加”弹出如下窗口：

图16

然后在“输入后台地址”这里输入一些常见的后台管理地址，比如：输入/admin/admin.asp然后点击“OK”然后再点“添加”，继续输入。常见的后台管理地址如下：/admin/manmage.asp,/admin/admin.asp,/admin/admin,/manage/manmage.asp等等。在输入的时候记得前面要加“/”，这些都是靠经验来判断的。大家平时多注意一些网站的后台地址就不难总结出这些目录。接着我们再转到“管理入口扫描”然后再点击“扫描后台地址”，结果如下图：

图17

我们把这个后台地址复制下来，在浏览器中打开。结果如下图：

图18

然后输入我们用Domain3.5检测到的管理员信息，就可以登陆后台了。我已经检测出它的用户名和密码分别是：hiwong，566868。我把他们分别输入，然后登陆。结果如下：

下面讲最后一点，也就是第5点“MD5和ACCESS的密码破解”。因为有些网站的管理员密码是经过MD5加密的，我们必须把它破解了才可以登陆的，所以我给大家推荐一个MD5破解网站，它的地址是：http://www.md5.org.cn 在这个网站可以进行加密与解密的。大家慢慢研究了。

好了，这个内容就讲到这里了，大家如果在看的过程中有什么问题就在学习站的群里提出，我会回答大家的问题，也欢迎大家转载该教程。谢谢大家！

明小子3.5检测网站应用相关推荐

明小子动力上传拿webshell(1).zip
明小子动力上传拿webshell(1).zip 点击进入高速下载通道转载于:https://www.cnblogs.com/gwrjy/p/7157679.html
php安全检测软件,SQL注入PHP注入检测工具下载
如果你是一名网站管理员或者服务器管理员,你需要关心的是网站的安全问题,为了方便大家测试,极速小编为你介绍一款功能强大的网站安全测试工具--微粒明小子旁注,它可以对网站进行旁注检测.SQL注入检测.PH ...
拿到一个待检测的站或给你一个网站，你觉得应该先做什么？
一.信息收集 1.获取域名的 whois 信息,获取注册者邮箱姓名电话等. 2.通过站长之家.明小子.k8.站长之家等查询服务器旁站以及子域名站点,因为主站一般比较难,所以先看看旁站有没有通用性的 ...
SQL注入攻击及其防范检测技术研究
2008-12-18 来自:51CTO 作者:陈小兵本文简要介绍了SQL注入攻击的原理,SQL注入攻击实现过程,并在此基础上给出了一种SQL注入攻击的自动防范模型. 1 SQL注入攻击概述 1 ...
你们应该听说过”w8ay“这个ID吧！一个喜欢造轮子的小子
他是w8scan.w9scan.w11scan.airbug的作者.他也是hack-requests的开发者.他在2018 Kcon以学生的身份展示了"自动化扫描工具".他也在Fr ...
线性时态逻辑ctl_基于决策过程的广义可能性时态逻辑模型检测
基于决策过程的广义可能性时态逻辑模型检测 [摘要]:随着计算机软硬件系统日益复杂,如何保证其正确性和可靠性,已成为大家广泛探讨的问题.模型检测由于其借助严格的数学方法来验证系统是否满足性质和自动化验证 ...
突发！微软亚洲研究院副院长周明离职，将加入创新工场
点击上方"CVer",选择加"星标"置顶重磅干货,第一时间送达本文转载自:AI科技评论作者 | 青暮.陈大鑫 AI科技评论获悉,微软亚洲研究院副院长周 ...
（黑客）入门路线及学习方法，工具小子起步，零基础可学，建议收藏
分享一个黑客入门学习的路线及方法 1 学习路线 1.黑客术语基础(学习一个月):主要把一些常用黑客术语搞清楚,比如什么叫木马,什么叫病毒,什么叫肉鸡,什么是webshell,什么叫注入,什么叫旁注,还 ...
【黑客】入门路线及学习方法，工具小子起步，零基础可学，建议收藏
(图片源于网络,侵删) 分享一个[黑客]入门学习的路线及方法 1学习路线 1.[黑客]术语基础(学习一个月):主要把一些常用[黑客]术语搞清楚,比如什么叫木马,什么叫病毒,什么叫肉鸡,什么是websh ...
2017-2018-2 20155303『网络对抗技术』Final：Web渗透获取WebShell权限
2017-2018-2 『网络对抗技术』Final:Web渗透获取WebShell权限 --------CONTENTS-------- 一.Webshell原理 1.什么是WebShell 2.We ...

明小子3.5检测网站应用

明小子3.5检测网站应用相关推荐

最新文章

热门文章