以博客“http://202.112.*.***/dlog/”作为目标。可以使用工具 (如NBSI 2 SQL自动注入攻击器)进行SQL注入。运行程序，点击工具栏中的“网站扫描”，在“网站地址”中输入博客网址，勾选“**扫描”项，点击“扫描”后，就可以对博客网站中存在的所有注入漏洞进行扫描。

　　**步，开始攻击

　　在扫描结果列表中任意选一个目标“http://202.112.*.***/dlog/showlog.asp?log_id=402”，然后点击界面下方的“注入分析”进入“注入攻击”页面。点击“检测”按钮，结果显示“赞为监测到注入漏洞”!

　　不要紧，我们用1=1检测法。在注入浏览器地址栏中的末尾分别加上“and 1=1”和“and 2=2”，查看两者返回页面的信息中有什么不同。并记下在“and 1=1”页面中出现过，但是在“and 2=2”中未出现过的字符串，并将其输入NBSI 2界面的“特征字符串”。

　　现在点击“再检测”，很快就可看到注入检测的结果。由于数据库是Access数据库，所以程序会自动猜解数据库中的表名和列名，点击窗口中的“自动猜解”，即可猜测可能存在的数据库表名，默认的表名为“user_mdb”。再利用自动猜解得到表中的列名等数据信息。然后自动猜解表中的用户数据，从而得到管理员的MD5加秘密码。*后使用MD5密码破解工具暴力破解，登陆后台管理页面，成功入侵。