手机入侵WAP网站攻略。
只会乱喷和诬蔑的朋友留点口德
WAP网站入侵首要，就是找注入点，下面进入正题：先要找出目标网站的注入点，比方说，http://yshitou.com/bbs.asp?；我们要判断这个网址是否存在着注入，我们编辑一下这个网址，在其后面加上“and 1=1”，也就是http://yshitou.com/bbs.asp? and 1=1，保存后访问一下，如果没有出现页面错误，那么我们可以初步判断出该页面存在着注入点（以上网址纯属假设，实际大家要慢慢找的），接着在网址后面加“and 1=2”,这回出现了错误了，呵呵，这才是我们要的结果。*以上两条件成立，证明网址存在注入点!*入侵第二步：猜表名*刚刚我们找到了网站的注入点了，接下来就是猜表名了（表名是什么就别来问我了，自己多看有关数据库就会懂的），在刚刚那个网址后加上and （s e l e c t count（*） from ***）＞0，语句里的“***”就是我们要猜的表名了，如果该表名存在，也就是大于零成立，那么出来的页面不会有差异，反之，出现错误或者成空白页，则该表名不存在！管理员所在数据表名：admin，user，adminuser，manage，administrator等等，还有好多，结合程序设计效率更好，大家自己发挥!*入侵第三步：猜字段名*假设我们猜出该网站存在表名admin，那么我们就要对该表里管理员号和密码进行猜解，只要灵活点也是不难猜的，“and （s e l e c t count（***） from admin），admin是我们猜到的表名，“***”即是我们要猜的字段名了，具体我也列一些出来：user，username，admin，*，pwd，会员，密码，用户，账号等等，大家自己摸索吧！*入侵第四步：猜管理号*手机写教程真的好累，哎，没办法咯，继续我们的入侵，猜完字段名后，我想你可能会想，入侵真的好难哦，猜完这个又猜那个，呵呵，如果你结合社会工程学去猜解，效果会好很多的，依然进行假设，表名admin，账号的字段名为username，密码的字段是*，下面就要猜管理员账号和密码了，过程比较麻烦，大家好好看吧，这次我们在网址后加上and （s e l e c t asc（mid（username，1，1） from admin））>100，访问后页面正常，则说明username的第一位的ascⅡ值大于100，接下来修改为

------------待续
>>
--
[◆ф≮хǐǎσ黑客≯╀落落╁于2011-10-7 19:51:09续贴]:
and （s e l e c t asc（mid（username，1，1） from admin））<150，访问后正常，则说明username的第一位的ascⅡ小于150，就这样慢慢缩小范围，直到确定为一个数字为止，猜出来的ASC码还要进行转换，ASC进制表百度有，我就不多说了，后面的*猜解流程也同上，不懂就多看几次！*入侵第五步：猜后台登录页面*经过长时间猜解后，我们终于得到了username和*的所有内容了，最后就是要找一下人家网站后台地址了，不然我们前面所做的就没意义了，呵呵，一般后台地址都是该网站域名后加上admin/login.asp，这个要根据自己入侵的经验去猜的，提醒大家一句：提防一下假后台，之前我就碰到过一个假后台，因为某些原因我就不提了。*好了，入侵WAP网站到此结束，我们所学的仅仅是技术，而不是为了某种利益或者报复，不听劝告者后果自负！与本人无关！

------------
>>文明回复
<<素质评论
--------