一个很重要的改进就是转发接口支持mysql格式的暴力猜解了。据我所知，目前还没有任何一款工具能暴力猜解mysql数据库的。
因为一提到mysql，大家马上想到的都是union。可是有些mysql的注点是不能union的，这时候就可以通过这个转发接口来暴力猜解了。
用hdsi（只支持hdsi），目标url那里填写http://你的shell/shell.asp?act=tool&sqlenv=mysql&fullurl=(injecturl) ，最好再填上关键字，然后就等他自己扫表扫列了。

图片：由于是ASP后门，暂时无图演示

友情提示：该工具已经经过Nod32进行查杀和工作人员的检测，没有发现对使用者有危害的程序，但是由于多数工具属于Hacktools，请务必慎重使用!

35

本文固定链接: http://www.daopo.org/2008/10/12/shell-injection-into-the-tool-v-1-5/ | 天晴轩