SQL手工注入漏洞测试(Access数据库)

最新推荐文章于 2023-08-26 07:59:42 发布
最新推荐文章于 2023-08-26 07:59:42 发布
阅读量207 收藏
点赞数 1
文章标签: SQL注入 数据库 管理员权限 MD5加密 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44862586/article/details/116781850
版权

今天随便打开一个靶场记录一下自己的学习历程(大佬直接无视就好)

如图,先找可能存在注入的注入点发现下面有一条跳转的url很可疑,于是便点进去看看

到这里,大家应该都能看出来存在一个明显的注入点,为了能够记录的详细一点,我这就不用工具sqlmap跑了,直接手注一波

到这里,已经可以百分百确定这是一个注入点,话不多说,开始注入!

可以清楚地看到,数据库里总共有5个字段,继续

可以看到,数据库中有admin表并且2,3段已经暴露,那么接下来,就是重头戏了

可以看到,账号和密码都已经出来了,密码的加密类型一看就是md5加密的,我们前往md5解密

现在已经拿到管理员的账号密码了,适可而止,如果想在继续深入,详情见网络安全法

登录进后台咯,如有疑问,可在评论区提出,看到就会解答

weixin_44862586
关注
墨者学院 - SQL手工注入漏洞测试(Access数据库)
多崎巡礼的博客
07-26 958
进入公告找到注入点 地址输入 and 1=1 =1正常,and 1=2 出现报错说明有注入点。 3.猜测存在的表,and exists (select * from admin),我这里凭借着经验猜出来是admin表,如果不是的话可以继续猜,格式为:and exists (select * from 表名),运行不报错,说明就是存在这个admin表了。 4.猜测这个表里面有哪些字段:order ...
墨者靶场 SQL手工注入漏洞测试(Access数据库)
曹振国的博客
06-20 654
Access 注入关于Access:进入环境:1.寻找注入点2.查询字段数3.猜测它有admin表4.猜字段5.寻找输出点6.查询username,passwd字段md5解密,进入后台拿到key值 关于AccessAccess 是表的集合 Access 数据库的结构 => 表、字段 select xxx from 表 => 正常查询 想知道access的表名你只能去猜 常见的表: admin news job work admin_user user 进入环境: 1.寻找注入点 ?id=
墨者学院-SQL手工注入漏洞测试(Access数据库)
JimWu的博客
09-04 701
SQL手工注入漏洞测试(Access数据库) 难易程度:★ 题目类型:SQL注入 使用工具:FireFox浏览器 1.打开靶场,寻找注入点。 确定了公告页面可以注入。 2.输入id=1 and 1=1,返回正常页面。 输入id=1 and 1=2,则返回空白页。 3.猜测数据库的表名,输入id=1 and exists(select * from admin),返回正常页面,证明猜对了。 4...
墨者学院 SQL手工注入漏洞测试(Access数据库)
痴人说梦梦中人
11-13 340
1、 判断注入点,求主查询列数,order by 4不报错,by3报错。 2、 猜解数据库,登陆获取key 3、 修复建议 对sql语句进行以下处理: ①、 sql语句预编译 ②、 检查变量数据类型和格式 ③、 过滤特殊字符 ④、 转译特殊符号 ...
SQL手工注入大全:包含各种类型的SQL注入,实现手工注入的乐趣,此资源你值得拥有。
05-31
此资源包含:宽字节注入SQL手工注入漏洞测试(Oracle数据库)、SQL手工注入漏洞测试(Sql Server数据库)、SQL手工注入漏洞测试(Access数据库)、SQL手工注入漏洞测试(PostgreSQL数据库)、SQL手工注入漏洞测试(MongoDB...
墨者靶场 入门:SQL手工注入漏洞测试Access数据库
qq_43233085的博客
01-10 1253
入门:SQL手工注入漏洞测试Access数据库)题目背景介绍实训目标解题方向解题步骤 题目 背景介绍 安全工程师"墨者"最近在练习SQL手工注入漏洞,自己刚搭建好一个靶场环境IIS+ASP+Access,Aspx代码对客户端提交的参数未做任何过滤。尽情的练习SQL手工注入吧。 实训目标 1.掌握SQL注入原理; 2.了解手工注入的方法; 3.了解Access的数据结构; 4.了解字符串的MD5...
SQL手工注入漏洞测试Access数据库(墨者学院靶场)
ISNS的博客
07-09 1486
靶场: https://www.mozhe.cn/bug/detail/VExmTm05OHhVM1dBeGdYdmhtbng5UT09bW96aGUmozhe 1.点击滚动的通知。 点击后进入页面: 2.判断是否为注入点。 3.判断字段数量。 采用二分法,从10开始查询。结果显示有4个字段: 因为Access用联合语句显示可显字段时,必须要“from 表名”,所以需要先猜表名。 4.猜...
墨者学院02 SQL手工注入漏洞测试(Access数据库)
weixin_42789937的博客
01-24 316
墨者学院02 SQL手工注入漏洞测试(Access数据库),是一个较为详细的WP~
墨者靶场-SQL手工注入漏洞测试(Access数据库)
最新发布
Sa1nZen的博客
08-26 265
墨者靶场-SQL手工注入漏洞测试(Access数据库)
SQL手工注入漏洞测试(MySQL数据库)
a123aa1aaaaaa的博客
11-10 940
手工注入: 1.启动靶场,找到注入页。 2.判断是否存在注入点。 在id=1后面加上单引号' 然后回车,页面显示不正常则存在注入点。 3.猜字段 order by 1 → 正常显示页面 order by 2→ 正常显示页面 order by 3→ 正常显示页面 order by 4→ 正常显示页面 order by 5 → 显示页面不正常,所以,字段有4个。 4.联合注入 union select 1,2,3,4 (有4个字段数,所以写到4就行了)...
SQL手工注入漏洞测试(MSSQL数据库)
硫酸超的博客
07-29 1063
MSSQL注入https://www.cnblogs.com/xishaonian/p/6173644.html https://www.cnblogs.com/xishaonian/p/6173644.html
SQL手工注入漏洞测试(Sql Server数据库)
chinacqzgp的博客
09-20 914
和mysql 注入有些不同,union select 无法使用,Sql Server数据库只能用 union all
SQL注入攻击:Access数据库防御策略
Access数据库中,攻击者利用恶意文本命令插入到预定义的查询语句中,以此获取未经授权的敏感数据,如用户密码、信用卡信息等。这种攻击手段包括手工注入、工具注入以及特定的注入技术,如AhD注入、HDSI和NBSI等。 ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值