B站小迪安全笔记第十五天-SQL注入之Oracle,mongoDB等注入

最新推荐文章于 2024-08-20 18:27:00 发布
最新推荐文章于 2024-08-20 18:27:00 发布
阅读量657 收藏
点赞数
分类专栏: 笔记 文章标签: sql 数据库 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61530426/article/details/126048619
版权
本文简要介绍了多种数据库的SQL注入特点,包括Access、MySQL、mssql、MongoDB、postgresql、sqlite、oracle和sybase。重点讨论了Access数据库的特殊性,如无information_schema以及如何进行猜解表名和列名。此外,还提到了MongoDB的NoSQLAttack工具在NoSQL注入中的应用,并推荐了sqlmap、NoSQLAttack和Pangolin等注入工具的使用。内容中还提醒读者通过观察网站特征和源代码来辅助猜解数据库信息。
摘要由CSDN通过智能技术生成

 

简要学习各种数据库的注入特点

数据库架构组成,数据库高权限操作

Access,Mysql,mssql,mongoDB,postgresql,sqlite,oracle,sybase等,除了Access其他数据库组成架构基本都是大同小异。

access数据库保存在网站源码下面,自己网站数据库独立存在,没有文件读写的操作

每个数据库功能不同,我们采取注入的时候攻入方式不同

用sqlmap判断数据库类型

Access只是单纯的数据库,只有数据,没有数据库名,数据库版本,操作系统等功能,没有information_shcema。可直接查询数据,获取表名,列名。

用猜解方式猜解表名,列名

219.153.49.228:43932/new_list.asp?id=-1 union select 1,2,3,4 from admin

最低0.47元/天 解锁文章
林墨麟
关注
专栏目录
Mongodb注入
acepanhuan的博客
02-13 1270
Mongodb注入
MongoDB注入
m0_48520508的博客
09-08 1099
#一、简介 MongoDB 是一个基于分布式文件存储的数据库。由 C++ 语言编写。旨在为 WEB 应用提供可扩展的高性能数据存储解决方案。 MongoDB 是一个介于关系数据库和非关系数据库之间的产品,是非关系数据库当中功能最丰富,最像关系数据库的。 二、注入 简单的语句执行,注入 这里我们有一个mongodb数据库数据库为test 执行了语句: db.test.find({username:’test’,password:’test’}); 如果此时传入的url如下: http://127.0.0
MongoDB手工注入(墨者学院)
最新发布
shw_yzh的博客
08-20 318
MongoDB手工注入(墨者学院)
SQLMAP使用方法笔记
Hydrakingbo
08-31 920
http://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=113&ctid=30转载 -u  #注入点  --sql-shell  返回sql shell -f  #指纹判别数据库类型  -b  #获取数据库版本信息  -p  #指定可测试的参数(?page=1&id=2 -p "page,id")  -D ""  #指定数据库名 
sqlmap使用笔记
ccstuck的专栏
04-05 565
虽说sqlmap这样强大的工具一百度 就有很多的记录 但是发现基本上都是大篇大篇的 而我记录下来是为了方便今后时长回顾  所以自己又整理了一下 -u #注入点 -f #指纹判别数据库类型 -b #获取数据库版本信息 -p #指定可测试的参数(?page=1&id=2 -p “page,id”) -D “” #指定数据库名 -T “” #指定表名 -C “” #指
15、SQL注入之Oracel、MongoDB注入
山兔的博客
06-21 1447
不同的数据库,它获取信息的注入语句是有点不一样的,如果你不知道这个网站使用的是什么类型的数据库,就一个劲的用mysql注入语句去获取信息,那是无法获取到的,所以我们在判断出注入点的时候,你也得知道这个网站它使用的数据库是什么类型的,这样你才能够根据相关数据库注入语句去获取信息。mongodb它的条件,它的值,在提交数据库注入查询的时候,它是列表形式查询的,键值键名提交进去的,所以我们在注入的时候要考虑到我们的语句是要写到列表里面去,要注入的话,要闭合前面后面的列表,其实就是有符号干扰我们。
小迪安全第15天 web漏洞,SQL注入Oracle,mongoDB注入
qq_46116117的博客
12-23 2711
15 web漏洞,SQL注入Oracle,mongoDB注入 补充: json JSON数据与常规数据的数据表达形式不同 常规注入,在a=1后直接进行测试 JSON注入,需要在JSON数据中进行测试 简要学习各种数据库注入特点 常见数据库: Access,Mysql,mssqlmongoDB,postgresqlsqlite,oracle,sybase等 Access 表名 列名 数据 Acce
数据库笔记——MysqlOracleSqlserver || Redis、Memcached、mongoDB环境搭建
Zyp689的博客
06-21 2639
个人数据库基础笔记,将各类数据库从环境搭建到使用简单回忆整理,方便自己回顾知识点,也同大家分享下: 关系型数据库(一般基于Jdbc和Sql语法):Mysql   、OracleSqlServer 非关系型数据库(基于结构):Redis 、Memcached 、mongoDB 相关文件个人网盘下载地址  yun.zyp168.cn  (亦可官网自己下载),图片看不清可以右击
materiais-pos-graduacao:Minas Gerais天主教大学(PUC-MG)使用Python 3以及关系和非关系数据库OracleMongoDB,Redis,Neo4J)的脚本和笔记本存储库,用于数据科学和大数据的毕业后研究)
04-20
Minas Gerais天主教大学(PUC-MG)使用Python 3以及关系和非关系数据库OracleMongoDB,Redis,Neo4J)的脚本和笔记本存储库,用于数据科学和大数据的毕业后研究) 技术涵盖 的Python 3 NumPy 大熊猫 ...
NetCore3.1学习笔记5 EntityFrameworkCore与sql server、MongoDB
05-26 843
简介 EntityFrameworkCore在Asp.net core上的使用,连接sql server和MongoDB sql server 第一步:先创建一个控制台程序,在Nuget上引用依赖EntityFramework,EntityFramework.SqlServer(在Nuget上只装EntityFramework就可以EntityFramework.SqlServer自动安装) 第二步:在appsettings.json上创建连接字符串 { "Logging": { "Log
Mongodb注入攻击
03-01
关于mongodb的基本安装运行操作以及php操作mongodb,请参考我以前的文章php下操作mongodb的帖子国内已经有了,但是基于php下注入攻击mongodb的文章似乎还比较少。本文是笔者在学习、查阅了大量资料后的一些总结,文中涉及的攻击手法及其知识产权全部归原作者所有,我只是大自然的搬运工。未征得笔者同意,请勿转载。php下操作mongodb大致有以下两种方式1.用mongo类中相应的方法执行增查减改比如:此时,传递进入的参数是一个数组。2.用execute方法执行字符串比如:此时,传进方法execute的参数就是字符串变量$query特别的,此时的字符串书写语法为js的书写语法。
第15天:WEB漏洞-SQL注入OraclemongoDB注入
cailme的博客
05-07 388
渗透测试day15
MongoDBsql 语句对应关系
xiaozhu0301的博客
01-27 404
看了些资料,对应只需要知道怎么查询和使用mongodb的我来说,这些足够啦。 左边是mongodb查询语句,右边是sql语句。对照着用,挺方便。 db.users.find() select*fromusers db.users.find({"age":27}) select*fromuserswhereage=27 db.users.find({"username":"joe","age":27}) select*fromuserswhere"usern...
小迪安全学习笔记--第15天:WEB漏洞-OracleMongoDb注入
zr1213159840的博客
12-15 956
access,mysql,mssqlMongoDB,postgresqlsqlite,oracle,sybase等 access是没有库之分的,比其他的数据库低一个等级。目前在市面上的access已经很少了,和asp语言在一起使用。 mysql中是有数据库,然后库下面有表,表下面有列,列中有数据。access中只有表,列,数据 简要学习各种数据库注入特点 mssql注入:https://blog.csdn.net/qq_35569814/article/details/100528187 postg.
SQL注入sqlmap,MongoDB
m0_48907714的博客
04-02 2551
数据库注入 明确注入数据库类型,权限 明确提交方法,参数类型等 权限高和低 低权限 明确数据库信息系统表 依次库,表,列,值注入查询 找后台,登录,获取shell(可能失败) 高权限 文件读写 命令执行 注册表读取 获取到shell Access mysql mssql mongoDB postgresql sqlite oracle sybase等 (除了Access之外,其他数据库的结构就差不多) access (没有跨库注入)(没有文件读写) ----表名 ------列名 ----
SQL注入(三)OracleMongodb注入
m0_63917373的博客
10-04 611
OracleMongodb注入 墨者
WEB漏洞-SQL注入Oracle,MongoDB注入
硫酸超的博客
07-29 326
WEB漏洞-SQL注入Oracle,MongoDB注入前言简要学习各种数据库注入特点Access手工注入数据库判断猜表猜字段猜数据工具注入mssql mysql 前言 简要学习各种数据库注入特点 数据库架构组成,数据库高权限操作 Access,Mysql,mssqlmongoDB,postgresqlsqlite,oracle,sybase等 Access 除了Access其他数据库组成架构基本都是大同小异。 access 表名 列名 数据 access数据库保存在网站源码下面,自己网站数据
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值