初级检索班注入破解教程初级班.docVIP

——注入、破解以及实例剖析破解M帐号资源 获取高校资源很重要的一个方法就是数据库注入，如何获取这些注入点？如何利用这些注入点获取资源帐号？本教程将一一为你呈现！ 一、注入点获取和利用工具 工欲善其事，必先利其器。下面先推荐常用的注入点获取和利用工具，然后结合实例进行讲解。 1、啊D注入工具 可以从网页直接获取注入点、Google等搜索引擎简易批量获取注入点，注入点检测的数据可以直接生成非常完善和易处理的txt文件。 2、NBSI 综合性较强，常和啊D检测出来的结果辅助使用，效果会更好。 3、其它工具 比如明小子（Domain3.5）、教主（HDSI）等工具大同小议，这里不在一一介绍。其中HDSI可用于php注入，一般采用啊D和NBSI就可以应付一般的注入点分析了。 二、注入点获取语法、关键词 最为经典的注入点获取就是采用啊D+Google，在啊D扫描注入点内输入Google网址，输入 就可以看到很多结果。 在啊D工具的下方会出现可用的注入连接。 这就是常见的获取注入点的方法，怎么利用，将在实例中完整呈现。 搜寻注入点的语法常见的有： Inurl: asp? id site:.edu **（site后面是域名，可以更换域名进行搜索，比如常见的域名.edu.au，.ac.uk，.ca，.org，.com等，可以参考google各个国家的域名，可以将域名设置为site:.edu,或者site:ac.uk, site:.ca, site:edu.au,增加可以找到的注入点的数量。） Inurl:cfm?id site:.edu **（其中cfm可以更换为为asp、aspx、jsp、php等，下面以xxx表示可替换） Inurl:xxx?id site:***.edu **（其中***.edu为具体的学校，比如，.au等） 另外在google提供的语法并不止这些，常见的google hacking工具中就有，比如： 等。这里不再过多介绍 关键词的构造： 在Inurl:xxx?id site:***.edu等语句前面可以加入各种关键词，关键词的构造尤其重要，可以有针对性的构造关键词。 由于注入可以找到用户名，密码，邮箱地址，大学网页中有那些需要学生输入用户名和密码？邮箱地址Email很显然，学校中的bbs、forum、blog中会有，于是可以添加关键词bbs或者forum，并综合域名设置为site:.edu,或者site:ac.uk, site:.ca, site:edu.au，增加可以找到的注入点的数量。拿到成员或者老师的用户名，不就更好了？于是，可以就有另一组针对性的检索词， faculty inurl:asp?id= site:***.edu, staff inurl:cfm?id= site:.edu.au email inurl:page?id site:.ca bbs inurl:aspx?id= site:edu blog inurl:jsp?id= site:.ac.uk forum inurl:php?id= site:.au 等，以上仅是举例，具体的要自己去发散思维和构造，请加入中级班和高级班进一步学习。 下面将进行实例剖析 三、注入点的利用（高校实例剖析） 目标： 工具：啊D+Google+NBSI 搜索注入点 在啊D下面会出现注入点 点击注入检测 会进入到下面界面，点击检测，可以看到啊D的检测结果 先检测表段，选举要检测的最有可能存在帐号的表段，点击检测字段，选取我们最关注的email和password来检测内容，就可以看到帐号和密码。 点击检测结果右键，保存内容就可以将所有结果保存，方便查看，在这点啊D要比NBSI做的好，它将注入点、所获得的表段以及内容结果都用txt保存下来，非常舒服。 同样对于NBSI也是如此检测，如下所示，输入注入点，点击检测。要注意的是，有些时候当前的库没有我们想要的内容，我们可以点击跨库来查找内容，不过有些时候跨库不一定有权限看内容，要看运气了。 应当注意，此处将以下两项选择，第一个不选择有些注入点会出现编码错误问题，第二个则是要提前选择才能将结果保存，保存是选择保存路径和文件名比如1.htm。 有些时候需要跨库找到其它库来列表找我们需要的信息，点击跨库，猜解，需要哪个库就将哪个库设为当前库，然后重新列表猜字段和内容。 上图是我们保存后获得的帐号和密码，下面就是验证帐号和密码了，首先我们要找到的ezproxy登陆地址，如何去找那？常用的有两种方法 一就是我们可在google中搜索入口 比如ezprox