黑客入侵之SQL注入

开篇：润墨网以专业的文秘视角，为您筛选了一篇黑客入侵之SQL注入范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

目前黑客入侵泛滥，很多菜鸟级黑客也想拿着别人制作的工具对各个网站进行测试。那么，今天我们就来见识一下，黑客入侵网站时最常用、最简单、最有效也是最具杀伤性的sql注入攻击。

由于网站制作者编写网站时的疏漏，太多的网站存在着SQL注入漏洞。通过这种漏洞，黑客可以很轻松地得到网站后台管理员的帐号密码，从而获得网站的管理权，这也为下一步的入侵提供了便利条件。要想知道网站是否存在SQL注入漏洞就要用到检测工具，今天我们用到的就是――啊D注入工具。

打开啊D，在检测菜单下输入网址进行访问，啊D会自动检测页面是否存在漏洞，若存在，则软件下方会有红色链接,这红色的链接就是我们所说的注入点（如图1），通过这个注入点就可以查出网站的数据库，从而获取网站管理员密码。

右键单击红色链接，会弹出选项，点击检测链接，软件会跳到数据库查询页面。点击链接右边的“检测”按钮，软件会对链接进行检测，看是否能够进行注入，并检测出网站数据库类型，我们遇到的以ACCESS和非显错的MYSQL居多。

点击“检测表段”，软件会列出存在的数据库表段，通常我们选择admin或manage之类的表段。选中所选的表段后，点击“检测字段”，软件会列出该表段中存在的字段，我们通常会看到类似password、name、admin、user、ID的字段，如果不懂，可以全部打勾。然后点击检测内容，稍等一会，我们就可以看到网站的管理员帐号和密码（如图2）。在绝大多数情况下，密码并不是明文的，而是经过加密的，通常是用的16或32位MD5加密。不用担心，我们将密文复制，登陆MD5在线解密网站，如：.cn，进行解密。一般简单的密码是免费查询的，如果遇到收费的可以多去几个查询网站试试。

通过反查，我们就可以得到密码了，但是有密码还不够，我们还需要得到后台登陆地址。幸好啊D给我们了一个很好的功能，后台地址查询（如图3）。

登陆网站后台（如图4），现在我们就有了网站后台管理员的权限，下面我们来一条网站新闻（如图5）。添加成功后，我们打开网站就可以看到刚才添加的新闻了。但是这并不是黑客最终的目的。黑客会利用后台管理员的权限进行提权，从而获得该网站服务器的管理权限。

SQL注入漏洞在网络上普遍存在，虽然它看似简单，但是给网站带来的危害是很巨大的，著名的MYSQL数据库开发商的官方网站就是因为SQL注入被黑，这也成为IT界的笑谈。

注：“本文中所涉及到的图表、公式、注解等请以PDF格式阅读”