理论+实战SQL注入漏洞
(1433是Mssql端口)
基本语句:
- Select*from 表名 查询表内所有内容
- CREATE DATABASE database-name 创建数据库
- drop database dbname 删除数据库
调用代码
<%
set conn =server.createobject(” adodb.connection”)
conn.open “provider= sqloledb;source= local;uid= sa;pwd = ****database= database-name”
%>
其中,provider后面的不用管,照写; source后面的可以是ip地址,这里我用的是本地的; sa是内置的用户,它的密码是你在安装的时候设置的;database后面是你要连接的数据库的名称,例:mydatabase(不需扩展名)。
注入语句
- 判断是否有注入(and 1=1 ;and 1=2)
- 初步判断是否是