網(wǎng)絡(luò)安全系列之三十七Pangolin（穿山甲）和Havij（胡蘿卜）的使用

在***過程中，必然要借助于一些工具軟件，像明小子和啊D都屬于比較古老的軟件，功能有限，而Pangolin和Havij則是兩款相對功能比較強(qiáng)大的軟件，本文將介紹它們的基本用法。實(shí)驗(yàn)環(huán)境采用NMPServer搭建，使用其中的第一個網(wǎng)站。

成都創(chuàng)新互聯(lián)主營容城網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司,主營網(wǎng)站建設(shè)方案,app開發(fā)定制,容城h5小程序定制開發(fā)搭建,容城網(wǎng)站營銷推廣歡迎容城等地區(qū)企業(yè)咨詢

網(wǎng)站頁面http://192.168.80.129/info_show.php?info_id=142明顯存在注入漏洞，我們先用明小子進(jìn)行注入，前幾步在猜解表名和列名時都沒問題，但是在最后關(guān)鍵的猜解用戶名和密碼的步驟中卻失敗了。

 

下面用Pangolin來注入，首先對URL進(jìn)行檢測，如果能夠注入，那么就可以列出我們所關(guān)心的一些敏感信息。從這些信息里可以知道，服務(wù)器采用的是Windows系統(tǒng)，數(shù)據(jù)庫采用的是5.1版本的MySQL，當(dāng)前數(shù)據(jù)庫是govcn，當(dāng)前用戶是root，另外數(shù)據(jù)庫的路徑等信息也都能得到。

 

由于這個目標(biāo)網(wǎng)站比較簡單，因而在這里的“Accounts”部分就直接得到了管理員賬號和密碼，對于一些比較復(fù)雜的網(wǎng)站，可以點(diǎn)擊下方的“獲取數(shù)據(jù)”，來進(jìn)一步爆出用戶名和密碼。

在下面的界面中也是按照獲取表->獲取列->獲取數(shù)據(jù)的步驟來進(jìn)行。

 

最后再來用Havij進(jìn)行注入。將URL輸入到Target欄中，點(diǎn)擊Analyze按鈕，然后點(diǎn)擊“Info”按鈕也可以查看到軟件檢測到的敏感信息。從這些信息中可以知道服務(wù)器軟件采用的是nginx 0.7.63，動態(tài)程序采用的是PHP 5.2.11，當(dāng)前數(shù)據(jù)庫是govcn。

 

繼續(xù)點(diǎn)擊Tables按鈕來暴庫。同樣按照Get Tables（獲取表）->Get Columns（獲取列）->Get Data（獲取數(shù)據(jù)）的順序來爆出用戶名和密碼。

 

標(biāo)題名稱：網(wǎng)絡(luò)安全系列之三十七Pangolin（穿山甲）和Havij（胡蘿卜）的使用
網(wǎng)站URL：http://muchs.cn/article10/gphogo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站建設(shè)、ChatGPT、商城網(wǎng)站、電子商務(wù)、網(wǎng)站設(shè)計、定制網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)