NBSI3SQL注入工具
原创
2008-04-01 19:16:42
762阅读
NBSI(NB联盟SQL注入分析器)是由NB联盟独立开发的一套高集成性Web安全检测系统,经一年多的更新优化,在ASP程序漏洞分析方面已经远远超越于同类产品,特别是对于SQLServer的分析,具有极高的准确率及成功率。关于如何防止与防御SQL注入,这里总结了两个解决方案:手工防御、外加防御。
转载
2009-08-12 10:14:05
681阅读
1、啊D适合批量寻找注入点,尤其适合ASP类型的网站,在有错误提示的情况下,找到的注入点一般比较准确。2、NBSI执行MCD命令的较好工具,有些注入点在其他工具中无法执行命令,但在NBSI中可以执行。3、Domain猜解的好工具,速度快。4、Pangolin很好的注入工具,支持php注入,前面的几款工具仅能支持access和mssql,Pangolin支持mysql。
原创
2009-12-12 21:41:07
535阅读
刚看了一种方法,如果是注入点,利用管中窥豹以二进制的方式上传,上传的时候最好改下名,比如do.exe,上传到目标服务器可以改成do.cmd,等传上去之后用copy 命令改回来。当然用啊d也可以上传,还有nbsi。SA 权限权利非常大,但可能有的朋友感觉使用起来不方便,接下来和大家一起讨论几种上传文件的方法,如果还有别的方法,希望大家提出,技术越辩起明,越明越高。一、NBSI的命令方法:写入一句话木
配置服务器安全抵御流行***
适合读者:网络管理员、服务器维护员、***者 前置知识:Windows基本操作 刘流:最近***还是闹得沸沸扬扬,NBSI2的不断升级,新的方法和各种系统的出现,加上LCX又趁乱公布了海洋2005,所以***事件是越来越多。最近黑防技
作者:风尘浪子查看WEB网站安装目录命令: cscript c:inetpubadminscriptsadsutil.vbs enum w3svc/2/root >c:test1.txt (将2换成1、3、4、5试试)type c:test1.txtdel c:test1.txt在NBSI下可以直接显示运行结果,所以不用导出到文件2)在网站上随便找到一个图片的名字 123.j
转载
精选
2005-12-20 09:41:19
2146阅读
去年我对注入感兴趣,期间对自己的主页做了试验,下了桂林老兵的东东,感觉很差劲。11个月过去了。今天想把一个网站的数据库搞下来。重新试验了遍注入,看了几篇文章。用了NBSI(居然要注册),ASCcan。扫了会。ASCcan告诉我有漏洞。呵呵用单引号试了下,clng错误。没戏了。
转载
2005-11-16 18:31:00
38阅读
小编说:本着文明原则,就不拿别人的站点来测试了,自己写一个有漏洞的程序,然后一次解析注入漏洞的原理,希望大家举一反三,别干坏事就行了。较出名的注入工具有:明小子的domain 4.1 、小竹的NBSI、教主的HDSI和啊D的注入工具等等,可以初学可以用这些来试试。 有漏洞的PHP代码:<?php
$dbserver='localhost';
$dbusername='root';
黑客经验谈之SA权限入侵的感悟
2007-01-13 20:06:39
想必大家都知道MSSQL中SA权限是什么,可以说是至高无上。今天我就它的危害再谈点儿,我所讲的是配合NBSI上传功能得到WebShell。在讲之前先说几个条件,否则得到Shell是有难度的。
1.存在SQL注入,并且数据库类型是MSSQL。xiong2127 51cto技术博客
2
转载
精选
2007-02-06 16:48:43
701阅读
1评论
想必大家都知道MSSQL中SA权限是什么,可以说是至高无上。今天我就它的危害再谈点儿,我所讲的是配合NBSI上传功能得到WebShell。在讲之前先说几个条件,否则得到Shell是有难度的。
1.存在SQL注入,并且数据库类型是MSSQL。
2.连接数据库的权限必须是SA。
3.后台必须有文件上传的程序。
好了,我们找到一个网址hxxp://www.6x36x.com/fangchan/l
转载
精选
2008-09-12 11:47:58
563阅读
转载16kc
1、
对一般遇到.net的网站时
通常会注册个用户
第一选择利用上传判断的漏洞 加图片头GIF89A 顺利饶过
2、
第二种就是注入了, 在?id=xx后加单引号 " ' "
一般情况下 用NBSI 啊D来SCAN 都可以发现BUG页面
而且国内大多.net都是使用MSSQL数据库
发现注入点也可以从login下手 其实这个方法目前的成功率在75%
转载
2009-09-22 01:38:54
1509阅读
转载16kc
1、
对一般遇到.net的网站时
通常会注册个用户
第一选择利用上传判断的漏洞 加图片头GIF89A 顺利饶过
2、
第二种就是注入了, 在?id=xx后加单引号 " ' "
一般情况下 用NBSI 啊D来SCAN 都可以发现BUG页面
而且国内大多.net都是使用MSSQL数据库
发现注入点也可以从login下手 其实这个方法目前的成功率在75%
转载
精选
2010-08-10 22:38:52
585阅读
ASP其实就是我们所说的ASP.NET的网站,我们一般遇到.net的网站时
通常会注册个用户
第一选择利用上传判断的漏洞 加图片头GIF89A 顺利饶过
第二种就是注入了, 在?id=xx后加单引号 " ' "
一般情况下 用NBSI 啊D来SCAN 都可以发现BUG页面
而且国内大多.net都是使用MSSQL数据库
发现注入点也可以从login下手 其实这
转载
精选
2011-01-12 13:27:53
781阅读
想必大家都知道MSSQL中SA权限是什么,可以说是至高无上。今天我就它的危害再谈点儿,我所讲的是配合NBSI上传功能得到WebShell。在讲之前先说几个条件,否则得到Shell是有难度的。
1.存在SQL注入,并且数据库类型是MSSQL。
2.连接数据库的权限必须是SA。
3.后台必须有文件上传的程序。
好了,我们找到一个网址hxxp://www.6x36x.com/fa
转载
精选
2007-01-13 20:06:39
780阅读
SA权限权利非常大,但可能有的朋友感觉使用起来不方便,接下来和大家一起讨论几种上传文件的方法,如果还有别的方法,希望大家提出,技术越辩起明,越明
越高。
一、NBSI的命令方法:写入一句话木SHELL,命令如下: echo ^<25%execute request("#")25%^>
>d:\web\mm.asp这样要写入一句话木马,如果说被杀软,KILL掉,就可以连
转载
精选
2010-08-19 17:17:14
495阅读
配置服务器安全抵御流行攻击
适合读者:网络管理员、服务器维护员、入侵者
前置知识:Windows基本操作
刘流:最近脚本攻击还是闹得沸沸扬扬,NBSI2的不断升级,新的注入方法和各种系统漏洞的出现,加上LCX又趁乱公布了海洋2005,所以攻击事件是越来越多。最近黑防技术咨询电话是天天叫个不停,中饭
适合读者:网络管理员、服务器维护员、入侵者
前置知
转载
精选
2010-01-10 15:29:16
442阅读
导读:
《黑客手册200801》
我在入侵过程中注意到的细节(一)
lcx
细节决定成败,不但对于写程序、渗透入侵甚至人生都是如此。谈人生就有点深奥了,还是来谈谈入侵吧。记得很久前有一位同事,注入的时候,在sa权限什么命令都能执行的情况下竟然入侵花费了三天左右的时间,为什么呢?这是因为他在NBSI下输了个time命令,想看下服务器的时间,结果命令无法应答,注入点宕在
转载
精选
2008-06-07 20:06:00
280阅读
一:注入类:
access数据库
<1>
首先猜解管理员密码:
手工猜解(当然,如果你有基础,这里就很简单。如果没学过,其实只要记下一些常用的语句就可以了。)
工具猜解。我建议用zwell的穿山甲,也就是pangolin..或者是NBSI。前者猜解速度非常强悍。而猜解的准确率两者都很好。
找出后台:
用明小子,啊D,等工具都可以找的。但有时候会找不到。为什么呢?建议用
转载
精选
2010-11-30 21:31:59
1450阅读
一:注入类:
access数据库
<1>
首先猜解管理员密码:
手工猜解(当然,如果你有基础,这里就很简单。如果没学过,其实只要记下一些常用的语句就可以了。)
工具猜解。我建议用zwell的穿山甲,也就是pangolin..或者是NBSI。前者猜解速度非常强悍。而猜解的准确率两者都很好。
找出后台:
用明小子,啊D,等工具都可以找的。但有时候会找不到。为什么呢?建议用
转载
精选
2013-01-16 14:23:23
271阅读
入侵ASP.net网站的经验
1、对一般遇到.net的网站时通常会注册个用户第一选择利用上传判断的漏洞 加图片头GIF89A 顺利饶过2、第二种就是注入了, 在?id=xx后加单引号 " ' "一般情况下 用NBSI 啊D来SCAN 都可以发现BUG页面而且国内大多.net都是使用MSSQL数据库发现注入点也可以从login下手 其实这个方法目前的成功率在75%3、不过遇到搜索型的,
转载
精选
2009-02-21 22:46:42
1316阅读
