3.1.2　准备注入工具

在SQL注入过程中，一般会利用一些特殊的工具，如SQL注入漏洞扫描工具、注入辅助工具及Web木马后门，所以，黑客在进行注入攻击前需准备这几种工具。

（1）SQL注入漏洞扫描器

注入工具是用来检测网站漏洞并检测出一些敏感信息的工具。可用于ASP环境的注入扫描器有NBSI、“冰舞”等。其中“冰舞”是一款针对ASP脚本网站的扫描工具，它可以寻找目标网站存在的注入漏洞，其主窗口如图3.1.2-1所示。

而用于PHP+MySQL环境的注入工具有CASI、PHPrf、“二娃”等。其中CASI是用VB编写的PHP注入补助工具，它利用MySQL的load_file()函数来读取文件，其主窗口如图3.1.2-2所示。

这些工具大部分都是集SQL注入漏洞扫描与攻击于一体的综合利用工具，可以帮助攻击者迅速完成SQL注入点寻找与数据库密码破解、系统攻击等过程。

（2）Web木马后门

Web木马后门是在完成注入攻击后安装在网站服务器上用来控制服务器上程序的木马后门。常见的Web木马后门有“冰狐浪子ASP”木马，其客户端如图3.1.2-3所示；“模块化Aspcode站长助手”，其主窗口如图3.1.2-4所示。而PHP木马后门工具有黑客之家PHP木马、PHPSpy等，主要用于在完成注入攻击后控制PHP环境中的网站服务器。

（3）注入辅助工具

在进行SQL注入攻击时，还需要借助一些辅助工具来实现字符转换、格式转换等功能。常见的SQL注入辅助工具有SQL注入字符转换工具、ASP手工注入辅助工具、GetWebShell，后两个的主窗口分别如图3.1.2-5和图3.1.2-6所示。