墨者学院 - SQL手工注入漏洞测试(Access数据库)

最新推荐文章于 2024-07-22 17:29:42 发布
最新推荐文章于 2024-07-22 17:29:42 发布
阅读量957 收藏 2
点赞数
分类专栏: sql Mozhe 文章标签: accsee sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42357070/article/details/81221975
版权
本文详细介绍了如何检测和利用SQL手工注入漏洞,针对Access数据库进行测试。通过输入'and 1=1'和'and 1=2'判断注入点,猜测并验证存在'admin'表,接着通过'order by'猜测字段数量,最终通过'union select'语句获取字段内容,以解密MD5密码。
摘要由CSDN通过智能技术生成

进入公告找到注入点
TIM截图20180726155410.jpg

地址输入 and 1=1 =1正常,and 1=2 出现报错说明有注入点。

3.猜测存在的表,and exists (select * from admin),我这里凭借着经验猜出来是admin表,如果不是的话可以继续猜,格式为:and exists (select * from 表名),运行不报错,说明就是存在这个admin表了。
TIM截图20180726155724.jpg

4.猜测这个表里面有哪些字段:order by 4,不报错刚好,如果报错就说明大了,减小一下继续,直到不报错的那一个为止,就是字段数量了。TIM截图20180726155750.jpg​存在4个字段,继续猜解字段名:and exists (select username from admin),不报错,说明存在username这个字段,不断尝试。这些字段都是全部

最低0.47元/天 解锁文章
多崎巡礼
关注
专栏目录
墨者学院--SQL手工注入漏洞测试(Access数据库)
YYYYYcici的博客
05-18 891
墨者学院SQL手工注入漏洞测试(Access数据库) 靶场连接: 解题思路: 判断是否存在sql注入 利用order by判断字段数量 联合注入猜测表名 联合注入猜测列名 登陆,拿KEY 打开题目,页面如下所示 一、 点击蓝色划线区域,跳转下一正常页面(跳转页面出现id=1) 二、判断存在注入(/ 、-0 、 and 1=1) 三、判断字段数量(order by...
SQL手工注入漏洞测试(Access数据库)
天天学安全专属博客
11-10 795
SQL手工注入漏洞测试(Access数据库)和Access数据库注入
墨者学院SQL手工注入漏洞测试(MySQL数据库)
最新发布
muyuchen110的博客
07-22 443
安全工程师"墨者"最近在练习SQL手工注入漏洞,自己刚搭建好一个靶场环境Nginx+PHP+MySQL,PHP代码对客户端提交的参数未做任何过滤。尽情的练习SQL手工注入吧。
墨者靶场 SQL手工注入漏洞测试(Access数据库)
曹振国的博客
06-20 654
Access 注入关于Access:进入环境:1.寻找注入点2.查询字段数3.猜测它有admin表4.猜字段5.寻找输出点6.查询username,passwd字段md5解密,进入后台拿到key值 关于AccessAccess 是表的集合 Access 数据库的结构 => 表、字段 select xxx from 表 => 正常查询 想知道access的表名你只能去猜 常见的表: admin news job work admin_user user 进入环境: 1.寻找注入点 ?id=
SQL手工注入漏洞测试Access数据库墨者学院靶场)
ISNS的博客
07-09 1484
靶场: https://www.mozhe.cn/bug/detail/VExmTm05OHhVM1dBeGdYdmhtbng5UT09bW96aGUmozhe 1.点击滚动的通知。 点击后进入页面: 2.判断是否为注入点。 3.判断字段数量。 采用二分法,从10开始查询。结果显示有4个字段: 因为Access用联合语句显示可显字段时,必须要“from 表名”,所以需要先猜表名。 4.猜...
墨者靶场 入门:SQL手工注入漏洞测试Access数据库
qq_43233085的博客
01-10 1253
入门:SQL手工注入漏洞测试Access数据库)题目背景介绍实训目标解题方向解题步骤 题目 背景介绍 安全工程师"墨者"最近在练习SQL手工注入漏洞,自己刚搭建好一个靶场环境IIS+ASP+Access,Aspx代码对客户端提交的参数未做任何过滤。尽情的练习SQL手工注入吧。 实训目标 1.掌握SQL注入原理; 2.了解手工注入的方法; 3.了解Access的数据结构; 4.了解字符串的MD5...
墨者学院-SQL手工注入漏洞测试(Access数据库)
JohnReese01的博客
01-26 280
1.判断是否存在注入点 在?id=1的结尾添加and 1=1和 and 1=2检测是否存在注入,结果为正常和错误,经验证存在注入点; 2.猜解表名 (因为Access用联合语句显示可显字段时,必须要“from 表名”,所以需要先猜表名。) 在?id=1结尾添加语句:and exists(select * from admin)  若存在表名为admin的表,则页面正常显示。 3.猜解列名 ...
墨者 - SQL手工注入漏洞测试(Access数据库)
吃肉唐僧的博客
07-05 711
order by 1 ,有回显,存在注入点 new_list.asp?id=1 and exists(select * from admin)测试是否存在admin,纯靠猜...... 存在admin表,接下来测回显位置 /new_list.asp?id=1 union select 1,2,3,4 from admin 接下来猜字段值,and exists ...
墨者靶场-SQL手工注入漏洞测试(Access数据库)
Sa1nZen的博客
08-26 264
墨者靶场-SQL手工注入漏洞测试(Access数据库)
墨者-sql手工注入漏洞测试
04-29
墨者安全团队是一支专注于网络安全领域的团队,他们致力于网络安全研究...总的来说,墨者安全团队的手工注入漏洞测试方法比较系统和全面,可以有效地发现目标网站中存在的注入漏洞,从而帮助企业提高网络安全防护水平。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值