手机入侵WAP网站第一篇-寻注入点
------------
手机网站在哪里到入侵前我们先判断哪个页面有注入点,先随便点个页面保存书签。 
接下来就是要改书签,判断这个页面是否有注入点了。好,那么我们就在这个书签的地址后面加上“and 1=1”,也就是把书签的地址改成:/login.asp? and 1=1,然后访问这个书签。如果没有出现错误!(注:上面网址是我乱写的,具体要大家慢慢页面)我们初步判断是有注入点的!接着试下在书签地址后面加“and 1=2”,返回错误页面!我们就是要它返回错误页面,这样就能进一步证明这个页面存在注入点了!对了,也可以在书签的地址后直接加个单引号 “ “ ”来判断,但是这个方法易于防范,我不建议大家使用!现在存在注入点的页面到了,我们就继续下一步的入侵工作了。
------------
手机入侵WAP网站第二篇-猜表名
------------
内容:判断表名可以在书签后面加上:and (select count(*) from xxx)>0。分析下加上去的这句里的“xxx”,
这个“XXX”就是我们猜的数据表的名称,如果它存在的话,页面的内容不会改变,如果没有这个表名,页面会返回错误或者干脆就是返回一个空白的页面。判断对了当然好,不对的时候就要不断的去猜、去测试了!常用的管理员帐号所在的数据表名有:admin;a_admin;x_admin;m_admin;adminuser;admin_user;article_admin;administrator;manage;manager;member;user;users;Manage_User;user_info;admin_userinfo;login!当然还有其他的,这就要看设计数据库的人员怎么设计的了。脑子放灵活点,也是很好到的!
------------
手机入侵WAP网站第三篇-猜字段名
------------
判断对了表名就要判断管理员帐号和密码是哪些字段名了(注:假设已经判断对了表名为admin),我们在书签后面加上“and (select count(xxx) from admin)”,分析下这个:“admin”就是我们刚才猜出来的表名了,这里的“xxx”就是我们要猜的字段名,常用的字段名有:USR;user;userid;userpwd;userpasswd;username;userpassword;userpasswd;passwd;name;pwd;password;pwd1;id;okwiantgo;city;adress;wind;姓名;用户;帐号;密码;用户密码;用户帐号;级别;用户名;会员;会员ID;会员结束;用户会员;密码问题;密码答案;真实姓名;身份;u_name;adminpassword;adminusername;adminpsw;adminupass;administrators;adminuser;adminpas
s;adminname;user_name;admin_name;admin_password;admin_pass;admin_psw;admin_username;admin_user;admin_pwd;admin_id;admin_name;admin_pass;usr_nusr;dw;nc;uid;admin;user_admin;POWER;sysuser;ad;users;movie--------这个也像猜表名一样,慢慢猜、慢慢测试,直到成功!那就发挥您聪明的
脑袋瓜,从各方面搜集信息,利用社会工程学的知识,在最短时间猜到它吧!如果把某个字段名代入后登录书签,正常显示说明你就猜对了。
------------
手机入侵WAP网站第四篇-猜管理号
------------
判断对了表名就要判断管理员帐号和密码是哪些字段名了,我们在书签后面加上“and (select count(xxx) from admin)”,分析下这个:“admin”就是我们刚才猜出来的表名了,这里的“xxx”就是我们要猜的字段名,常用的字段名有:  USR; user; userid; userpwd; userpasswd; username; userpassword; userpasswd; passwd; name; pwd; password; pwd1; id; okwiantgo; city; adress; wind;姓名;用户;帐号;密码;用户密码;用户帐号;级别;用户名;会员;会员ID;会员
结束;用户会员;密码问题;密码答案;真实姓名;身份; u_name; adminpassword; adminusername; adminpsw; adminupass; administrators; adminuser; adminpass; adminname; user_name; admin
------------
手机入侵WAP网站第五篇-猜后台登录页面完结篇
------------
等我们猜到了username和password的所有内容!接下来我们就要猜测管理员的登录页面了,一般的都是这里是该站的网址/admin/index.asp或这里是该站的网址/admin/login.asp之类的,这个要靠自己的经验去猜测的!当然,你能记得一些常用的后台也是比较好的。我一个一个试下。如果进入了出现管理登录页面那就对了。现在我们就添上管理员帐号,登录-进入后台,你就可以控制这个网站,当然要有道德,不能乱动别人的东西,必竟黑客不是以破坏和损害他人利益为目的的。入侵只是为了技术交流而已。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。