NBSI中文意思是指:牛B死或者非常牛、超级厉害的!同时它是一款网站漏洞检测工具的名称,ASP注入漏洞检测工具,特别在SQL Server注入检测方面有极高的准确率
NBSI是什么?和如何利用NBSI破解帐号
NBSI中文意思是指:牛B死或者非常牛、超级厉害的!
同时它是一款由VB语言编写的网站漏洞检测工具的名称,ASP注入漏洞检测工具,特别在SQL Server注入检测方面有极高的准确率。
“工欲善其事,必先利其器”,今天的主角就是NBSI2,(NBSI是网站漏洞检测工具,ASP注入漏洞检测工具,特别在SQL Server注入检测方面有极高的准确率)该工具由NB联盟小竹开发的一款价值1000RMB的超级SQL注入分析器,网上有最新NBSI2商业破解版本下载,(建议大家下载这个版本,功能比较完善).。首先简单介绍下SQL Injection, 小知识:“SQL injection可以说是一种漏洞,也可以说成是一种攻击方法,程序中的变量处理不当,
对用户提交的数据过滤不足,都可能产生这个漏洞,而攻击原理就是利用用户提交或可修改的数据,把想要的SQL语句插入到系统实际SQL语句中,轻则获得敏感的信息,重则控制服务器。
SQL injection并不紧紧局限在Mssql数据库中,Access、Mysql、Oracle、Sybase都可以进行SQL injection攻击。 在大多数ASP站点中,我们并不知道其程序代码,靠任何扫描器也不可能发现SQL injection漏洞,这时就要靠手工检测了,由于我们执行SQL语句要用到单引号、分号、逗号、冒号和“--”,所以我们就在可修改的URL后加上以上符号,或在表单中的文本框加上这些符号
”。
首先要确定是不是存在漏洞,,我们在这个地址后面加个单引号,提交看到了什么?(如图)
聪明的你一定知道网站是采用SQL SERVER数据库的。当然有些网站是把单引号过滤掉的,这样你用单引号测试是测试不到注入点的,那么我们就应该用经典的1=1,2=2测试法了,简单的说就是在它地址后面加and 1=1和and 2=2提交后和原地址的区别来判断,
可以注入的表现是加上and 1=1后和原地址基本相同,加上and 2=2后提示BOF或EOF(程序没做任何判断时)、或提示找不到记录(判断了rs.eof时)、或显示内容为空(程序加了on error resume next),了解了原理和判断方法以后就Let’s go。
拿起NBSI2开工,如图
然后点击猜解表名,会出来很多网站的表名,然后在已经猜解出来的表名里点USER,然后点猜解列表,会出现一些列表然后选择userid和password点击右边的自动猜解出来的是网站会员的帐号和密码,然后用猜解出来的帐号和密码登陆电影网站,当然猜解出来的是全站的帐号和密码,如图
需要自己慢慢去筛选,有点麻烦(如果那位大虾能轻松筛选出来,本菜鸟特别感谢)你要把钻石会员或者黄金会员的帐号登陆才有比较高的权限,现在你就能免费的观看和下载他网上的任何电影了,是不是觉的很爽啊!
当然如果你不满足于只拿到他网站的帐号和密码,还想拿到网站的Webshell,那你要做的工作就是用NBSI2猜解出管理员帐号和密码,这里猜解管理员帐号和密码的方法和步骤和上面的大致一样,不同的是要选择admin(当然也不排除管理员更改了表名)表名进行猜解,找到管理页面(找管理页面的工具很多,当然NBSI2也自带这样的功能,这里笔者向大家推荐 小榕的WIS.EXE这个工具,这个工具是CMD下进行的,成功率很高)并登陆进行管理,这样你就能为自己建个永久会员了,当然还可以删除他站上的任何东西,(这样的行为是被人强烈鄙视的,我们的目的只是为了学习和研究,不是为了破坏,废话多了)当然你还可以用NBSI2自带的一个功能,就是点右上角的哪个工具选择
NB CMOMANED开启网站服务器的Telnet 和建立自己的帐号,还可以开他的3389终端,这里就不做详细的介绍了,如果你有兴趣的话请参考
SQL Injection的教程(SQL Injection教程你可以到电脑报黑客营来找我发表的教程,我的ID为yution,当然你也可以到华夏黑客同盟找到)。
4:总结
其实我们这次入侵利用的就是SQL Injiection这个漏洞,首先利用网站程序漏洞结合注入利器NBSI拿到会员帐号和管理员帐号,从而拿到整个网站的Webshell,然后再开启Telnet和3389进而拿下他网站服务器。最后提醒一些程序员和网管:SQL注入漏洞可谓是“千里之堤,溃于蚁穴”,这种漏洞在网上极为普遍,通常是由于程序员对注入不了解,或者程序过滤不严格,或者某个参数忘记检查导致,一不小心就可能因为某个参数导致整个服务器沦陷。
分享到:
相关推荐
NBSI,NBSI,NBSI,NBSI,NBSI,NBSI,NBSI,NBSI,NBSI,NBSI,NBSI,NBSI,NBSI,NBSI,NBSI,NBSI,NBSI,NBSI
本工具是著名的NBSI工具可用于sql asp的注入测试,
NBSI3.0
nbsi注入工具,国产扫描利器nbsi注入工具
老牌的sql注入工具nbsi无后门纯净版,保证无后门。自己可以自行检测。
NBSI: NB SQL INJECTION 网站漏洞检测工具,ASP注入漏洞检测工具,特别在SQLServer注入检测方面有极高的准确率
web数据库注入工具。php+web漏洞扫描软件。
全部完整的NBSI工具下载的,NBSI 3.0 - 注入漏洞检测工具NBSI: NB SQL INJECTION 网站注入漏洞检测工具,ASP注入漏洞检测工具,特别在SQLServer注入检测方面有极高的准确率
软件名称: nbsi3.0 xiaolu增强版(ASP,PHP程序安全检测工具) 软件语言: 简体中文 软件授权: 免费软件 软件类型: 国产软件 运行环境: ASP 官方主页: 发布日期: 2008.4.22 发布时间: 2008年4月22日 解压...
NBSI: NB SQL INJECTION 网站漏洞检测工具,ASP注入漏洞检测工具,特别在SQLServer注入检测方面有极高的准确率。
downbank1025NBSI.rar
中文名: 暗战强人-黑客及反黑客工具快速精通 作者: 武新华 资源格式: PDF 版本: 扫描版 出版社: 电子工业出版社 发行时间: 2009年09月01日 内容介绍: 《暗战强人:黑客及反黑客工具快速精通》紧紧围绕黑客防范技巧...
最新sql注入工具,里面集合了多种注入方法方式,测试网络安全必备
所谓纯洁,是无后门!~ NBSI是菜鸟注入必备!~~
NBSI破解版
一款非常好的WEB网站注入漏洞检测工具。
亲测此工具在虚拟机中winXP 64位系统中中能正常用 高版本windows系统会报错 工具用于注入学习
nbsi3.0 1119 非法使用后果自负,主要是可以用来反测试下自己的网站安全!
一款很牛的sql注入工具,我用过的很好用的
NBSI 3.0 Hack520 增强版。用于站长寻找Sql注入点而开发的一款软件。。绝对的好用。功能强大。