WSI使用手册

WSI V5.1.25使用手册

? 2014 WST

■版权声明

本软件为狼族独立开发，版权归狼族所有。你可以分发该软件，但是请署名版权。本软件仅供测试使用者自己的系统，请慎重慎用本软件，非法使用产生的风险由使用者自己承担。

目录

前言 (1)

一. 概述 (2)

1.1软件概述 (2)

1.2狼族简介 (2)

二. 软件的使用 (3)

前言

文档范围

本文主要描述狼族Mysql5注射工具的主要功能模块和使用方法。期望读者

期望了解本软件的朋友，本文假设您对下面的知识有一定的了解：◆Php语言和mysql数据库

◆注射漏洞

◆操作系统

获得帮助

获取网络安全相关资料可以访问狼族网站：https://www.wendangku.net/doc/0611640263.html,/技术交流论坛：https://www.wendangku.net/doc/0611640263.html,/forum/

一. 概述

1.1 软件概述

本软件是专门用来通过注射点获取数据库的内容的，要求数据库版本mysql>=5。具体的原理参考网上相关文章。软件MD5值为994AEC04A781CCEE018F78F56FF85D8E，请自行校验。

1.2 狼族简介

狼族的真正含义并不仅仅在于我们觉得自己是一群狼。我们曾被生活馈赠了太多太多的礼物。社会最底层的挣扎，无数个黑夜的失败，无数个人生路口一无是处艰难的选择，无数个曾经对着天空、对着自己撕吼了沙哑的声音，无数个像肥皂泡一样易碎的梦.......太多太多的看着曾经的满载的希望、理想一步步的离我远去，我们并没有心酸，正是这些才造就了我们永不言弃的精神。

在黑夜中寻找那条人们所谓路的我们，为了找会属于我们的自由，属于我们自己的天空。

我们对着生活，用最后那点沙哑的声音，对着那些阻挡我们的东西撕吼。那条路就在前方，我们奋力的奔跑，把所有生活的得失在一刹那统统抹去。那条属于我们的路正在敞开，黑暗中狼群的一双双的眼睛正在像星光一样点亮这个世界，那个曾经被人遗忘的世界，遗忘的城市，还有那些随风而去的岁月。这是一个狼族复兴的时代。

网络安全就像一场雨，大家就像雨中的雨滴，寻梦的雨滴，雨滴不断的汇集凝聚，形成了我们自己的圈子。我们用我们的智慧，我们的创造力，在数字世界里谱写我们的数字人生，来真正的实现那句话：

Think Green, Be Accountable, Create Value.We can do more.

遨游在安全里的所有coders,不要被任何的数字思维定式所束缚住，我们要追求真正体现自己存在价值的精神，而不是把它当做一句空话

二. 软件的使用

打开软件，界面如图1，界面很清晰和整洁。

使用的时候，Mysql5 inj point那个框就是你要注射的url。该url应该是有注射漏洞的点。要连union一起，就像默认值那样

http://127.0.0.1/x.php?id=10 and 1=2 union select 1,2,3,4,5

比如第4个数字会在页面上显示，那么你就将数字4替换成“loveuk”,而且最后不要跟注释符（因为程序会在提交的时候默认会自动加上），最终的url如下：

http://127.0.0.1/x.php?id=10 and 1=2 union select 1,2,loveuk,4,5

设置好这个点，可以选择注射类型，这里以GET类型为例子做示范。HexEnCode一般不要选上，除非出现编码不匹配的时候才需要，空格默认是用/**/替换的，可以根据具体情况修改。

设置好后点GO,就可以开始注射了，很快数据库里面的所有库就都被列了出来，如图二。下一步操作，选中你要猜解的数据库库名，右击，选择list tables即可。猜解完表名，可以选在你需要的表来猜字段，方法和选择数据库名时一样，右击选择list Fields,如图三、图四。最后一步是读取数据，将你感兴趣的那个字段其面打上钩即可，右击选择read dates就可以得到你想要的数据了！如图五。整个过程中你不必等到每一步都进行完了再进行下一步，如果你感性趣的内容已经出来了，只要单击STOP按钮程序即可停止。

另外，软件还集成了利用注射读文件的功能，如图六，选择readfile，然后在弹出的对话框中数据你要读的文件的绝对路径即可，不过要求有文件权限才可以。

附:

较前一个版本该，版本增加了进度条显示，方便用户使用本软件时，可以清除明了的知道当前数据读取进度；另一个新功能是增加了表的记录数显示功能，可以快捷的查看对应数据库中各各表的记录总数,以便用户操作。

图一：软件界面

图二：获取所有库名

图三获取表名

图四获取字段名

图五读取数据

图六读取文件

安全服务部资源配置系统

安全服务部资源配置系统