网站注入工具
啊D是一款很不错的绿色软件,体积还不到300kb,对于我们在网吧奋战的一族来说真是够体贴了!利用啊D可以得到大部分有注入漏洞的管理员用户名和密码,速度也相当快,结果也很准确。当软件运行一次后,直接修改注入地址就可以进行下一次注入,这是WED,CSC,NBSI,Domain所不能的。功能也比较简单,就是暴密码,找后台,然后通过后台上传WebShell,再进一步提权。但啊D也有很多不足之处:
1)对某些明明有漏洞的站点检测不出,提示无漏洞,此时也只能改用其它软件了,我个人经验认为此时用NBSI比较好,如果连NBSI都检测不出的话,就只能放弃这个注入点了。
2)对MSSQL数据库错误提示开启时依旧采用了字典穷举的方式,而没有像其它软件采取暴字段的方式,因此速度会很慢而且支持也不是很好,这时要是遇见“***_admin”这类字典里没有表名就有些力不从心了。只会出现几个默认的表。
3)偶尔在穷举密码时会出现“检测长度已超过50……”这样的错误。
实际上并没有,如果换成WED或NBSI的话便可以轻易拿到密码。一般时如果啊D在通用的表下注入成功,那么WED也可以,不过啊D是GUI界面的,一切可控而且由于它提交的是Ascii代码,因此可以暴出中文密码来,这是只通过数字+字母+符号穷举的WEB所不能的。
4)还有一个不足之处就是当我们已经暴到想要的表(如admin),想要进一步暴列,或是暴了列想进一步暴密码时,会发现上一进程并没有停止,我们也没有任何方式让它停下。这些已经不需要的进程很影响破解的速度,使我们无法体验它飞快的感觉。
2021-10-04 20:42:30
3.32MB
啊D
注入工具
1