啊D注入工具是由彭岸峰開發(fā)一種主要用于SQL的注入工具,使用了多線程技術(shù),能在極短的時間內(nèi)掃描注入點。使用者不需要經(jīng)過太多的學(xué)習(xí)就可以很熟練的操作。并且該軟件附帶了一些其它的工具,可以為使用者提供極大的方便。所謂SQL注入,就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串,最終達到欺騙服務(wù)器執(zhí)行惡意的SQL命令。具體來說,它是利用現(xiàn)有應(yīng)用程序,將(惡意的)SQL命令注入到后臺數(shù)據(jù)庫引擎執(zhí)行的能力,它可以通過在Web表單中輸入(惡意)SQL語句得到一個存在安全漏洞的網(wǎng)站上的數(shù)據(jù)庫,而不是按照設(shè)計者意圖去執(zhí)行SQL語句。本站提供
啊D注入工具無限制版下載端口,歡迎有需要的朋友免費下載體驗。
功能介紹
1、掃描注入點使用啊D對網(wǎng)站進行掃描,輸入網(wǎng)址就行。
2、SQL注入檢測檢測已知可以注入的鏈接。
3、管理入口檢測檢測網(wǎng)站登陸的入口點,如果已經(jīng)得到用戶名和密碼的話,可以用這個掃描一下,看能否找到后臺進行登陸。
4、瀏覽網(wǎng)頁可以用這個瀏覽網(wǎng)頁,如果遇到網(wǎng)頁中存在可以注入的鏈接將提示。
5、目錄查看這個主要是用來查看網(wǎng)站的物理目錄。
6、CMD/上傳當(dāng)你有一個SA權(quán)限的數(shù)據(jù)庫的時候可以進這里執(zhí)行CMD命令,或是上傳一些小的文件,比如一些腳本不過現(xiàn)在能得到SA權(quán)限的是很走運了。
7、旁注、上傳看看和這個網(wǎng)站在同一主機上的其他虛擬站點,檢測主機上其他站點是否有漏洞,那個上傳現(xiàn)在基本用不了。
軟件特點
1、自創(chuàng)的注入引擎,能檢測更多存在注入的連接。
2、使用多線程技術(shù),檢測速度快。
3、對"MSSQL顯錯模式"、"MSSQL不顯錯模式"、"Access"等數(shù)據(jù)庫都有很好注入檢測能力。
4、內(nèi)集"跨庫查詢"、"注入點掃描"、"管理入口檢測"、"目錄查看"、"CMD命令"、"木馬上傳"、"注冊表讀取"、"旁注/上傳"、"WebShell管理"于一身的綜合注入工具包。
使用教程
1、運行啊d注入工具,打開軟件。
2、點擊軟件左邊的“掃描注入點”功能,在地址欄輸入需要檢測的網(wǎng)站地址,點擊地址欄后面的檢測按鈕。
3、軟件下方會顯示檢測到當(dāng)前頁面的注入點,如果首頁沒有,可以換其他頁面,可在網(wǎng)頁上點擊進入其他頁面,點擊進入網(wǎng)站各個欄目,看看各個頁面是否有注入點。
4、如果點擊所有頁面和連接都沒有注入點,可能你網(wǎng)站不存在常用注入漏洞。
5、如果檢測發(fā)現(xiàn)有注入點,可以先任意選擇一個注入點,右鍵選擇“注入檢測”檢測注入是否可用。
6、進入注入檢測頁面,直接點擊“檢測”按鈕。
7、等待左下角會顯示檢測完成,然后再點擊“檢測表段”。
8、這里就已經(jīng)檢測出了賬號密碼相關(guān)表段,一般首選“admin”或者“administratior”或者user等管理員賬號敏感字符。
9、檢測完成后,再勾選密碼字段,選擇檢測內(nèi)容。
10、就能檢測出管理員的登錄賬號密碼。
附帶工具
1、SQL注入點檢測
2、管理入口檢測
3、目錄查看
4、CMD/上傳
5、注冊表讀取
6、旁注/上傳
7、WebShell管理
常見問題
1、注入工具有什么用的,是不是是不是什么網(wǎng)站和服務(wù)器都能入侵,怎么我老試都沒有能進入的?注入工具只是一個檢測注入漏洞的工具,如果網(wǎng)站沒有此漏洞將無法注入的!一般檢測的網(wǎng)站以 asp 擴展的網(wǎng)站(別的擴展名的也有可能的,只要是有SQL注入問題的),至于老試都沒有檢測到可用的,是因為現(xiàn)在這個漏洞很多網(wǎng)站也已修補了,所以沒有也是很正常的,還有想說的就是,當(dāng)你使用此軟件于用破壞的話,你也做好網(wǎng)警找你"喝茶"的心理準備。
2、軟件一開始的時候,“當(dāng)前庫”,“多行執(zhí)行”,“當(dāng)前權(quán)限”,“當(dāng)前用戶”,怎么都是空的?要檢測有注入才會有相關(guān)顯示的。
3、我下載了你博客的“DSQLTools_v2.32_無限制版”,但是我運行時提示“您可能沒有合適的權(quán)限訪問這個項目”,這是怎么回事?殺毒禁止了軟件運行,請將軟件加入殺毒白名單。
4、你的軟件殺毒老報毒,有沒有升級版或沒毒的?軟件已被列表病毒庫,如不放心的,請不要使用。
5、D哥,你發(fā)布的軟件,是否能提供下相應(yīng)修補漏洞方法,這樣那些沒技術(shù)的網(wǎng)管也懂得維護,這樣才是對一個國家的網(wǎng)絡(luò)安全負責(zé)?百度里查“SQL注入防范”或 "asp通用防注入代碼"就能找到防注入的方法和代碼。6、sql注入通俗說到底是什么意思?所謂SQL注入,就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串,最終達到欺騙服務(wù)器執(zhí)行惡意的SQL命令。具體來說,它是利用現(xiàn)有應(yīng)用程序,將(惡意的)SQL命令注入到后臺數(shù)據(jù)庫引擎執(zhí)行的能力,它可以通過在Web表單中輸入(惡意)SQL語句得到一個存在安全漏洞的網(wǎng)站上的數(shù)據(jù)庫,而不是按照設(shè)計者意圖去執(zhí)行SQL語句。比如先前的很多影視網(wǎng)站泄露VIP會員密碼大多就是通過WEB表單遞交查詢字符暴出的,這類表單特別容易受到SQL注入式攻擊。
SQL注入防范
1、輸入驗證檢查用戶輸入的合法性,確信輸入的內(nèi)容只包含合法的數(shù)據(jù)。數(shù)據(jù)檢查應(yīng)當(dāng)在客戶端和服務(wù)器端都執(zhí)行之所以要執(zhí)行服務(wù)器端驗證,是為了彌補客戶端驗證機制脆弱的安全性。
在客戶端,攻擊者完全有可能獲得網(wǎng)頁的源代碼,修改驗證合法性的腳本(或者直接刪除腳本),然后將非法內(nèi)容通過修改后的表單提交給服務(wù)器。因此,要保證驗證操作確實已經(jīng)執(zhí)行,唯一的辦法就是在服務(wù)器端也執(zhí)行驗證。你可以使用許多內(nèi)建的驗證對象,例如Regular Expression Validator,它們能夠自動生成驗證用的客戶端腳本,當(dāng)然你也可以插入服務(wù)器端的方法調(diào)用。如果找不到現(xiàn)成的驗證對象,你可以通過Custom Validator自己創(chuàng)建一個。
2、錯誤消息處理防范SQL注入,還要避免出現(xiàn)一些詳細的錯誤消息,因為黑客們可以利用這些消息。要使用一種標準的輸入確認機制來驗證所有的輸入數(shù)據(jù)的長度、類型、語句、企業(yè)規(guī)則等。
3、加密處理將用戶登錄名稱、密碼等數(shù)據(jù)加密保存。加密用戶輸入的數(shù)據(jù),然后再將它與數(shù)據(jù)庫中保存的數(shù)據(jù)比較,這相當(dāng)于對用戶輸入的數(shù)據(jù)進行了“消毒”處理,用戶輸入的數(shù)據(jù)不再對數(shù)據(jù)庫有任何特殊的意義,從而也就防止了攻擊者注入SQL命令。
4、存儲過程來執(zhí)行所有的查詢SQL參數(shù)的傳遞方式將防止攻擊者利用單引號和連字符實施攻擊。此外,它還使得數(shù)據(jù)庫權(quán)限可以限制到只允許特定的存儲過程執(zhí)行,所有的用戶輸入必須遵從被調(diào)用的存儲過程的安全上下文,這樣就很難再發(fā)生注入式攻擊了。
5、使用專業(yè)的漏洞掃描工具攻擊者們目前正在自動搜索攻擊目標并實施攻擊,其技術(shù)甚至可以輕易地被應(yīng)用于其它的Web架構(gòu)中的漏洞。企業(yè)應(yīng)當(dāng)投資于一些專業(yè)的漏洞掃描工具,如大名鼎鼎的Acunetix的Web漏洞掃描程序等。一個完善的漏洞掃描程序不同于網(wǎng)絡(luò)掃描程序,它專門查找網(wǎng)站上的SQL注入式漏洞。最新的漏洞掃描程序可以查找最新發(fā)現(xiàn)的漏洞。
6、確保數(shù)據(jù)庫安全鎖定你的數(shù)據(jù)庫的安全,只給訪問數(shù)據(jù)庫的web應(yīng)用功能所需的最低的權(quán)限,撤銷不必要的公共許可,使用強大的加密技術(shù)來保護敏感數(shù)據(jù)并維護審查跟蹤。如果web應(yīng)用不需要訪問某些表,那么確認它沒有訪問這些表的權(quán)限。如果web應(yīng)用只需要只讀的權(quán)限,那么就禁止它對此表的 drop 、insert、update、delete 的權(quán)限,并確保數(shù)據(jù)庫打了最新補丁。
7、安全審評在部署應(yīng)用系統(tǒng)前,始終要做安全審評。建立一個正式的安全過程,并且每次做更新時,要對所有的編碼做審評。開發(fā)隊伍在正式上線前會做很詳細的安全審評,然后在幾周或幾個月之后他們做一些很小的更新時,他們會跳過安全審評這關(guān), “就是一個小小的更新,我們以后再做編碼審評好了”。請始終堅持做安全審評。
更新日志
啊D注入工具 v2.32
1、修改部分已知Bug。
2、對部分功能進行全面優(yōu)化。
0條評論