sqlmap 注入字典_AccessSQL手工注入实战

最新推荐文章于 2022-10-10 17:28:46 发布
最新推荐文章于 2022-10-10 17:28:46 发布
阅读量412 收藏 1
点赞数
文章标签: sqlmap 注入字典
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_31070201/article/details/112294921
版权

判断是否存在注入:

方法1减法判断:

正常页面id=14

209deec99c68b4d499ec7b6082285316.png

注入测试id=14-1也就是id=13,页面正常跳转存在注入。

989afe333697ee1c931d0ac993eacbd0.png

方法2 and和or判断:

构造id=14 and 1=1,发现被WTS-WAF拦截了

368fedc9d04f31c07b2bf0e149b1d965.png

经过反复尝试,这里可以利用“+”替换空格和大写字母绕过WTS-WAF,并且此waf没有过滤and。

id=14+and+1=1成功显示:

fd7714d67ac8b04fbfaaf8c01772a237.png

id=14+and+1=2没有显示文章:

99185f9f154427adfefe7c6a283d65fd.png

根据报错信息很明显是Access数据库,但是其中的and IsPass我有点不懂。

access数据库特点: 表名—->列名—->内容数据 不像其他的数据库 可创建多个数据库然后才是表再是内容 access只有一个库若干张表。

552a08ca3193750d85524fc35dca9fe8.png

二话不说用sqlmap跑一下,结果没有跑出来

sqlmap.py -u “http://www.XXXXX.com/news_list.jsp?type=8&pkID=7288*” –user-agent ” Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET4.0C; .NET4.0E; BIDUBrowser 7.6)” –proxy=http://127.0.0.1:1080 –tamper “randomcase.py,space2plus.py”

最低0.47元/天 解锁文章
扔东西瓜皮
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sqlmap 注入字典_使用sqlmap进行sql注入
weixin_36377516的博客
12-30 648
简单介绍下sqlmap吧,它是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL的SQL注入漏洞,目前支持的数据库是MS-SQL,,MYSQL,ORACLE和POSTGRESQLSQLMAP采用四种独特的SQL注入技术,分别是盲推理SQL注入,UNION查询SQL注入,堆查询和基于时间的SQL注入。其广泛的功能和选项包括数据库指纹,枚举,数据库提取,访问目标文件系统,并在获取...
Access数据字典生成器(源码)
04-09
Access数据字典生成器,含源码,vs2005下作的,比较详细,注释很多,可以自行修改扩展。
渗透测试笔记:使用sqlmapaccess数据库进行测试
weixin_30528371的博客
05-06 555
渗透测试笔记:使用sqlmapaccess数据库进行测试 Sqlmap是开源的自动化SQL注入工具,由Python写成,具有如下特点: 完全支持MySQL、Oracle、PostgreSQL、Microsoft SQL Server、Microsoft Access、IBM DB2、SQLite、Firebird、Sybase、SAP ...
在kali上使用sqlmap进行爆破
learninger12的博客
02-13 6173
sqlmap进行爆破 接下来看一下sqlmap的版本: 我们进行爆破的时候,一定要找有注入点的,比如这样的: 再来一个没有注入的,来做一下对比: 这里我们就可以看的出来,在地址栏中,我们会发现,有注入的,在网址的最后面会有一些不同的东西,没有注入的就没有东西,我们要找的就是有注入的东西,这样我们才能对网站进行爆破,下面进行爆破,获取网站的一些基本信息: 看上图的下方区域,我们可以清楚的看到一些基础信息,这里就不过多的解释了。 接下来是查...
Sqlmap详解使用
白白白
09-03 5852
转载自https://www.anquanke.com/post/id/235846 作者:谢公子 感谢作者,内容非常详细。 Sqlmap sqlmap是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL进行SQL注入。目前支持的数据库有MySql、Oracle、Access、PostageSQLSQL Server、IBM DB2、SQLite、Firebird、Sybase和SAP MaxDB等 Sqlmap采用了以下5种独特的SQL注入技术 基于布尔类型的盲注,即可
sqlmap里如何添字典
aiquan9342的博客
03-20 610
sqlmap的目录下有那么一个目录。即"TXT"目录。 该目录下是放字典的。 我在日一个站的时候没有破解出表明。然后不小心下载到了数据库。 sqlmap无法猜出表是啥。ps:access数据库 便有了此文: 算一个小知识点把。 转载于:https://www.cnblogs.com/xishaonian/p/6591763.html...
sqlmap_自动化sql注入引擎_None_sqlmap_sql注入_sql_flath1c_vulnerability_
10-02
SQL注入SQLi)是一种注入攻击,,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页...
sql注入扫描_sqlmap-1.1.3.zip
02-13
sqlmap也是渗透中常用的一个注入工具,其实在注入工具方面,一个sqlmap就足够用了。现在支持python3了
sqlmap sql 注入测试工具
最新发布
03-06
sqlmap 可以很方便的测试sql 注入 安装后直接使用
sqlmap自动扫描器.zip_sqlmap_sqlmap扫描器_sql工具
09-23
sqlmap非常好用的数据库渗透工具,请合理使用。
注入表段强大字典
10-31
很多的表段,扩充逼得注入工具,300条表段,齐全
一个蛋疼强的的注入字典
05-02
#字典里面包含那些东西呢 1,收集了cgi的那些东东 2,入了一些linux的东东 3,入了最近网上出现的一些漏洞页面路径 4,把普瑞斯特牛以前发的后台字典增强了一下 5.增了xxs相关的东西 6.asp 那些默认数据库当然也在里面 7,fcedit,edit那些啥编辑后台的一些漏洞文件啥都在里面 8.那些常用的注入工具,扫描后台的工具啥的字典里面的东东全部在字典里面躺着 #字典不足支持 1,还有一些字典没有整理,在我电脑躺着 2,涵盖的东西还不是很全面 # 在win下建议把字典入wwwscan linux下用啥呢。我也不知道哦 #end .. 还有几份字典没处理,实在是没那个力气搞了。
啊D注入工具超强字典(10.2MB)
12-13
阿D注入工具2010超强字典(10.2MB版),用这个之后啊D打开时会比较卡,这是软件本身原因
sqlmap-1.3.9最新完整版.zip
09-16
亲爱的朋友,SQLMAP是自动化的SQL注入和数据库接管工具,是开源的渗透测试工具,它能自动检测和利用SQL注入漏洞并接管数据库服务器。它配备了强大的检测引擎、最终渗透测试器的许多利基特性和广泛的开关,从数据库指纹、从数据库获取数据到通过带外连接访问底层文件系统和在操作系统上执行命令。这是本人从sqlmap上下载来的最新版本sqlmap,没有作任何修改,只是方便各位网友快速下载得到工具(毕竟人家服务器架在国外,下载起来花了我五分钟)
SqlMap-Sql注入
08-02
Sqlmap是开源的自动化SQL注入工具,由Python写成,具有如下特点: 完全支持MySQL、Oracle、PostgreSQL、Microsoft SQL Server、Microsoft Access、IBM DB2、SQLite、Firebird、Sybase、SAP MaxDB、HSQLDB和Informix...
access搜索型注入
一个码农的笔记
02-18 1344
access的搜索型注入看这个: http://www.hack6.com/wzle/gf/2010/sousuoxingzhuruASP_ACCESS_82168216.html 写个python 来猜表名: # -*- coding: utf-8 -*- import urllib2 import urllib file=open("dic.txt","r") #字典 fo
Access注入详细笔记
weixin_46007361的博客
10-10 2063
Access注入
SQL注入系列之ASP+ACCESS手动注入(一)----数字型
热门推荐
fendo
12-30 2万+
一、access数据库 1.简介 Microsoft Office Access是由微软发布的关系数据库管理系统。它结合了 MicrosoftJet Database Engine 和 图形用户界面两项特点,是 Microsoft Office 的系统程序之一。 Microsoft Office Access是微软把数据库引擎的图形用户界面和软件开发工具结合在一起的一
sqlmap实战sql注入漏洞
08-17
SQL注入是一种常见的网络安全漏洞,攻击者通过注入恶意的SQL代码来获取数据库中的数据或者执行非法操作。引用中提到了一个名为sqlmap的工具,它是用来识别和利用SQL注入漏洞的。请注意,为了遵守法律规定,我们不鼓励或支持在他人的网站上进行恶意攻击或破坏行为。 在进行sqlmap实战之前,首先需要确认目标网站是否存在SQL注入漏洞。可以通过访问网页并尝试使用一些特殊字符或语法进行测试。引用中的示例展示了如何使用id=参数进行测试,如果返回的结果与预期不符,说明该页面可能存在注入漏洞。 一旦确认目标网站存在注入漏洞,可以使用sqlmap来进行实际的注入测试。sqlmap是一个功能强大的工具,可以自动检测和利用SQL注入漏洞。它提供了多种选项和参数,可以根据需要进行定制化设置。具体的使用教程可以参考引用所提供的详细笔记。 需要强调的是,只有在授权的情况下,才能使用sqlmap工具进行漏洞测试。同时,建议在测试时使用自己的虚拟机环境,避免对他人网站造成不必要的损害。最重要的是,及时修复和固自己的网站,以减少SQL注入漏洞的风险。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [sqlmap 进行sql漏洞注入](https://blog.csdn.net/qq_42876636/article/details/87691842)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [sql注入-注入漏洞获得数据库数据-kali-sqlmap-运维安全详细笔记](https://download.csdn.net/download/qq_34953582/87973686)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值