2

确定列数。返回到数据库的登录页面（或以“id=”或“catid=”结尾的任何URL），点击浏览器地址框。在URL后面，点击空格键，并输入order by 1，然后按Enter。数字增加到2，并按Enter。一直增加，直到出现错误为止。实际的列数是出现错误之前输入的列数。

3

确定哪些列可以被查询。在地址栏URL的末尾，将catid=1或id=1 改为catid=-1或id=-1。按空格键，并输入union select 1,2,3,4,5,6（如果有6列的话）。数字应当从1数到列的总数，并且每个数字之间由逗号隔开。按Enter，这样你就可以确定哪些列可以被查询。

4

将SQL语句注入到列中。例如，如果你想知道当前用户，并且想将SQL语句注入到第2列中，删除URL中id=1后面的所有内容，再按空格键。然后，输入union select 1,concat(user()),3,4,5,6--。按Enter，会显示当前数据库的用户名。使用可以返回信息的SQL语句，如要破解的用户名和密码列表。

2

尝试常见密码。如果管理员使用密码保护帐户（很可能是这种情况），请尝试常见的用户名/密码组合。一些黑客会公开发布他们使用检索工具破解的密码列表。尝试一些不同的用户名和密码组合。

• 收集密码列表的一家知名网站： https://github.com/danielmiessler/SecLists/tree/master/Passwords。
• 手工尝试密码可能很耗时，但在破解密码之前尝试一下也没什么坏处。

3

使用密码检索工具。你可以使用各种工具通过暴力尝试数千个字典单词和字母/数字/符号组合，直到密码被破解为止。

• DBPwAudit（适用于Oracle、MySQL、MS- sql和DB2）和Access Passview（适用于MS Access）等工具是常用的密码检索工具，可以在大多数数据库上运行。你也可以上谷歌搜索，寻找专门适用于你的数据库的最新密码检索工具。例如，如果你正在攻击Oracle数据库，可以搜索password audit tool oracle db。
• 如果有运行数据库的服务器的帐户，你可以对数据库的密码文件运行哈希破解工具，如John the Ripper，来破解数据库的密码文件。哈希文件的位置因数据库而异。
• 只从你信任的网站下载。在使用工具之前，要仔细研究研究。

2

通过wardriving 寻找不设防的网络。 Wardriving是指在区域内驾驶（或骑车、步行）的同时，运行网络扫描工具（如NetStumbler或Kismet），以找到不安全的网络。Wardriving 在理论上是合法的。在网络上一些行为是不合法的，而使用Wardriving却是合法的。