实战初级SQL注入-access篇

最新推荐文章于 2024-06-08 15:21:52 发布
最新推荐文章于 2024-06-08 15:21:52 发布
阅读量4.5k 收藏 7
点赞数 2
分类专栏: web渗透 文章标签: web渗透 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/edegod/article/details/79337659
版权

这是我的第一篇文章,如有不好的地方还请多多担待,才开始接触网络安全,小白一个。

学习过程中遇到了非常多的问题,过程中发现很少有关于纯新手的文章,入门很难,所以我写了这篇文章,带大家能够更简单的理解网络世界。

话简单说,接下来是我看小迪渗透视频所学到的,我整理了一下,一步一步很详细,基本谁都能看懂。

搭建虚拟机,安装镜像就跳过了,网上也说的很明白,至于特定的软件安装,百度也有详细的解决办法。

SQL注入个人理解应该从数据库类型入手,平常要多多了解各种数据库的类型、结构、语句等等。

一、基本环境

操作系统 windows 2k3

脚本格式 asp

数据库 access

所用的asp服务器为 小旋风asp服务器,百度就有

用到的软件有 notepad++,Microsoft Access

本机网站示例 http://127.0.0.1:8001/0/index.asp

网站可以在下载中搜索:asp+access注入网站源码,进行下载,或者百度云链接:https://pan.baidu.com/s/1ghletQb 密码:w7y3

二、认识access数据库

把上面提到的资源包解压后放到服务器的网站文件夹里,我的是放在安装目录下的wwwroot下(每个服务器可能不一样,视情况而定),然后进入网站http://localhost:8001/0                   8001是端口号,后面的是网站目录。

直接进入存在注入的地方http://localhost:8001/0/Production/PRODUCT_DETAIL.asp?id=1513

如图


再用notepad++打开网站目录下的一个文件  .../0/Production\PRODUCT_DETAIL.asp


可以看到这里的代码的作用,如上图

其中文件包含conn.asp在 ...\0\Include_files\conn.asp

打开如下


包含即意味着执行,即为跳转到另一个文件程序执行

回到PRODUCT_DETAIL.asp文件,其中sql=”select * from

最低0.47元/天 解锁文章
EDEGOD
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入学习资料总结
墨痕诉清风的博客
05-13 717
结构化查询语言(Structured Query Language,缩写:SQL),是一种特殊的编程语言,用于数据库中的标准数据查询语言。1986年10月,美国国家标准学会对SQL进行规范后,以此作为关系式数据库管理系统的标准语言(ANSI X3. 135-1986),1987年得到国际标准组织的支持下成为国际标准。不过各种通行的。
墨者学院;sql手工注入;access;在线靶场
xiaochenhang的博客
08-20 738
恭喜你 moke 成功登录用户管理后台,KEY: mozhee7cc35d6a83a8978b4a44f56f6d。6、枚举关键表名:正常则存在admin表;通常access数据库都有admin表;8、 枚举字段:正常则页面不报错;通常access表会存在以下三个字段;,因此看到位数以及字母组成形式的字符可以迅速判断可能是MD5编码。5、access数据库没有库名,都是表名;4、输入' 成功闭合报错,有注入漏洞;1、注册账号,启动环境;9、爆一下用户账户和密码;2、 得到端口号和地址;这里枚举失败,翻车;
入门级 SQL 注入实战
菜鸟学识的博客
06-08 780
得到users表的所有字段。uname=a&passwd=a’union select database(),2 # &submit=Submit查询到当前的数据库为security,或者使用:uname=a’ union select database(),2 # & passwd=a&submit=Submit均可查询到当前数据库,当然也可以查询其它信息。直接在username中填写admin’or 1=1#,password随便写,此时登录成功,Username存在SQL注入漏洞。
细说——SQL注入
LainWith的博客
10-09 7797
目录SQL是什么?什么是SQL注入漏洞原理漏洞原因为什么会有SQL注入注⼊点可能存在的位置漏洞危害提交方法判断注入点判断字符型还是数字型sql注入绕过获取网站路径SQL 注入读写文件1. 数据库支持文件读写2. 当前用户具有文件权限3. 知道文件绝对路径查询方式及报错盲注⭐查询方式报错盲注报错注入函数二次注入原理实施步骤举例堆叠查询DNSlog脑图常见数据库,及注入相关⭐注释符、数据库端口数据库文件后缀名特有的数据库查看当前用户或权限ASCII转换函数不同数据库注入结果的区别⭐Sql注入中连接字符串常用函数
SQL注入漏洞初级应用之Access
得峰的专栏 [网络收藏]
05-04 1002
如果你已经掌握了SQL注入漏洞的一些相关的基础知识,那是不是觉得看了理论有一种想急于知道如何实际动手操作的冲动,好吧,Let’s go,这文章我们就来实战SQL注入,不过针对网站的数据库是ACCESS的,毕竟在国内都是用虚拟机,一般只有FTP上传权限,所以还是很有市场的。   首先要注意的是,如果你以前没试过SQL注入的话,那么第一步先把IE菜单=>工具=>Internet选项=>高级=>显示友
SQL学习之SqlMap SQL注入
dengxiangbao3167的博客
05-07 123
sqlmap也是渗透中常用的一个注入工具,其实在注入工具方面,一个sqlmap就足够用了,只要你用的熟,秒杀各种工具,只是一个便捷性问题,sql注入另一方面就是手工党了,这个就另当别论了。 今天把我一直以来整理的sqlmap笔记发布上来供大家参考 sqlmap简介 sqlmap支持五种不同的注入模式: 1、基于布尔的盲注,即可以根据返回页面判断条件真假的注入。 ...
Sql注入(转)
海内存知己
03-23 1257
不管用什么语言编写的Web应用,它们都用一个共同点,具有交互性并且多数是数据库驱动。在网络中,数据库驱动的Web应用随处可见,由此而存在的SQL注入是影响企业运营且最具破坏性的漏洞之一。 前言: 这是一张相当有技术含量的号牌遮挡,其对交警系统SQL Injection的hack䅁例。当摄像头拍到你车牌号并把其转成文本后,插入数据库时的SQL注入。看到了吧,千万别惹程序员。
mysql 多行拼接注入_SQL注入技术专题—由浅入深【精华聚合】
weixin_34471172的博客
02-01 327
不管用什么语言编写的Web应用,它们都用一个共同点,具有交互性并且多数是数据库驱动。在网络中,数据库驱动的Web应用随处可见,由此而存在的SQL注入是影响企业运营且最具破坏性的漏洞之一。什么是SQL注入SQL注入基本介绍结构化查询语言(Structured Query Language,缩写:SQL),是一种特殊的编程语言,用于数据库中的标准数据查询语言。1986年10月,美国国家标准学会对SQL...
最受欢迎的十款SQL注入工具
weixin_51725318的博客
12-22 943
最受欢迎的十款SQL注入工具
Oracle学习总结(6)—— SQL注入技术
科技D人生
09-23 2967
不管用什么语言编写的Web应用,它们都用一个共同点,具有交互性并且多数是数据库驱动。在网络中,数据库驱动的Web应用随处可见,由此而存在的SQL注入是影响企业运营且最具破坏性的漏洞之一。 SQL注入基本介绍 结构化查询语言(Structured Query Language,缩写:SQL),是一种特殊的编程语言,用于数据库中的标准数据查询语言。1986年10月,美国国家标准学会对SQL进行
SQL注入-防范-ppt.pptx
10-27
SQL相关资料
SQL注入-xiabee1
08-03
1.1 安装靶场 1.2 手工注入 1.2.1 联合查询注入 1.2.2 报错注入 1.3 源码审计
sql注入教程.sql注入实战
11-09
sql注入详细教程 寻找存在sql注入的网址 探测过滤 tamper 得到shell
第四节 基于报错的SQL注入-01
09-15
基于报错的SQL注入 SQL注入是一种常见的Web应用程序漏洞,攻击者可以通过在输入参数中inject恶意SQL代码来获取敏感数据或控制服务器。今天,我们将讨论基于报错的SQL注入,包括其分类、发现和利用方法。 SQL注入...
SQL注入-初入web安全-详细知识图谱
11-06
SQL注入初入Web安全详细知识图谱 SQL注入是一种常见的Web应用安全漏洞,指的是攻击者通过构造特殊的输入参数,来改变原始的SQL语句,使得数据库服务器执行恶意的SQL语句,从而达到非法访问或控制数据库的目的。SQL...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8357
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
chromedriver-mac-arm64_126.0.6465.0.zip
07-31
chromedriver-mac-arm64_126.0.6465.0.zip
chromedriver-mac-x64_122.0.6235.0.zip
最新发布
07-31
chromedriver-mac-x64_122.0.6235.0.zip
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值