现在点击“再检测”，很快就可看到注入检测的结果。由于数据库是Access数据库，所以程序会自动猜解数据库中的表名和列名，点击窗口中的“自动猜解”，即可猜测可能存在的数据库表名，默认的表名为“user_mdb”。再利用自动猜解得到表中的列名等数据信息。然后自动猜解表中的用户数据，从而得到管理员的MD5加秘密码。最后使用MD5密码破解工具暴力破解，登陆后台管理页面，成功入侵。

漏洞四：cookies欺骗漏洞

第一步，搜索目标

搜索关键词“Powered by L-Blog”，选择“http://***.*****.***/blog”作为攻击目标。

第二步，查询cookies信息

这里要用到一款可以修改cookies信息的工具。打开程序，输入博客网站的地址并登陆，查看当前的cookies信息，其中包含了我们的登陆用户名和密码等信息。

第三步，“欺骗”攻击

现在要对cookies信息进行修改，欺骗博客程序，使它以为登陆用户的身份是管理员。此时可直接对cookies信息进行修改。

我们只修改“menStatus=SupAdmin”，其它内容保留，然后继续保持工具栏中的“锁”为按下状态。现在，退出当前的用户登陆状态，重新打开该博客首页。此时会显示我们没有登陆，然而我们已经拥有了管理员的权限。