针对自己构建的asp+access网站进行SQL注入利用

最新推荐文章于 2024-02-14 10:09:22 发布
最新推荐文章于 2024-02-14 10:09:22 发布
阅读量506 收藏 1
点赞数
分类专栏: hack学习 网络安全训练营 SQL注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46709219/article/details/111940543
版权

一)针对asp+access网站进行SQL注入利用
1)asp+access网站技术介绍
2)web漏洞扫描
3)漏洞分析
4)SQL注入点利用

————————————————————————————————————————————————


一)针对asp+access网站进行SQL注入利用

1)asp+access网站技术介绍

asp(active server pages)是微软公司开发的服务器端脚本环境,它可以用来创建动态交互式网页并建立强大的web应用程序。当服务器接收到对asp文件的请求时,它会将服务器中对应请求的页面资源转换为用户端浏览器可以显示的HTML文件返回给用户。asp除了可以实现服务器端脚本代码外,还包含文本、HTML、com组件调用。

经常和asp搭配使用的是access数据库,它是由微软发布的数据库管理系统,它只有表这个概念,也就是说,在mysql中可以有多库,每个库中可以有多张表,但是在access中只有一个库,其他的数据全都以表的形式存储,也正因为如此access数据库是用于中小型程序。

2)web漏洞扫描

其实在前面的文章中我们已经讲过针对web应用程序的扫描工具有很多,例如:awvs、appscan、owasp zap等。下面我们利用owasp zap进行探测:

kali中打开owasp zap:
在这里插入图片描述
对我们自己已经在win2003(192.168.1.105:8082)中搭建好的asp网站进行探测:

在这里插入图片描述
此时就会在“spider”中显示爬取的过程内容:
在这里插入图片描述
当完成了“spider”之后就会自动主动扫描,可以点击下面的小按钮以查看可以探测的漏洞类型:
在这里插入图片描述
因为我们本文是要探测利用SQL注入漏洞,所以我们将探测到的其他漏洞后的按钮点击进行暂停,只探测SQL:
在这里插入图片描述
在这里插入图片描述
此时如果探测到了某些页面存在SQL注入漏洞,那么就会在
在这里插入图片描述

3)漏洞分析

当我们完成了漏洞扫描之后就要开始对漏洞进行分析了,此时点击扫描到的SQL注入漏洞中的链接我们将它copy:
在这里插入图片描述
之后在浏览器中访问这个链接就会打开网站中存在SQL注入漏洞的页面:
在这里插入图片描述
通过 and 1=1和and 1=2等的页面效果(万能钥匙)手工再次确定是否存在SQL注入。

4)SQL注入点利用(利用sqlmap)

确定存在SQL注入漏洞后就要开始对它进行利用了,利用sqlmap:
在这里插入图片描述
结果(探测出是access数据库,并且存在两种类型的SQL注入漏洞):
在这里插入图片描述
爆表:
在这里插入图片描述
结果有4个表:
在这里插入图片描述
爆字段:
在这里插入图片描述
结果有4个字段:
在这里插入图片描述
dump数据:
在这里插入图片描述
结果:
在这里插入图片描述




A&&K
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
计算机专业毕设ASP+ACCESS酒店预定管理系统(开题报告+源代码+论文).rar
03-20
该系统基于ASP(Active Server Pages)技术和ACCESS数据库构建,旨在为用户提供一个便捷、高效的酒店预订服务体验。 该系统的核心功能包括: 1. 前台预订:用户可以通过系统的前台界面查看酒店房间信息、房价和...
html页面 sql注入,一个容易的SQL注入
weixin_36483301的博客
06-03 1027
一个简单的SQL注入本例采用JSP+Servlet+Mysql:1. 数据库:数据库名:sqlinjectCREATE DATABASE sqlinject;建user表:Table: userCreate Table: CREATE TABLE `user` (`id` int(11) NOT NULL AUTO_INCREMENT,`name` varchar(20) NOT NULL,`se...
小白SQL注入测试之——搭建自己的站点库+简单的手工注入
Mlazylov_bordertown的博客
08-20 448
一、测试环境 centos6.5(虚拟机)+ lnmp 二、架设注入环境 1.创建测试数据库:sqltest 1. 在Linux命令行中输入mysql,登陆mysql。在MySQL命令行中输入: CREATE DATABASE sqltest; 注意:命令不必以大写字母输入。 注意:所有MySQL命令必须以";"结束。如果忘记了输入分号,可以在下一行中输入";"让前一命令得到处理。 可输入SHOW DATABASES; 列出所有已保存的数据库。 2. ...
Asp.net Core如何采用sqlsguar注入连接数据库并分层
最新发布
linqinong520的博客
02-14 524
appsettings.json连接数据库配置 "ConnectionConfigs": [ { "ConnectionString": "Data Source=(local);Initial Catalog=IoT;Persist Security Info=True;User ID=sa;Password=*****;Enlist=true;Pooling=true;Max Pool Size=2000;Min Pool Size=300;Connection Lifetime=
SQL注入实战(防注入)-Access
weixin_47493074的博客
10-01 197
SQL注入实战(防注入)-Access
本地搭建含有简单sql注入漏洞的网站
mukami0621的博客
12-06 2万+
本地搭建简单的sql注入漏洞网站 注入过一些有sql注入漏洞的网站,但是自己本地搭建倒还是第一次尝试.... 安装phpstudy 集成了Apache+PHP+MySQL+phpMyAdmin等的神奇工具,可以直接就搭建出一个本地网站,比如网址为http://127.0.0.1/phpinfo.php的 编写login.php和test.php(编写漏洞页面) login
注入漏洞-sql注入
热门推荐
一个很酷的人
04-30 4万+
注入漏洞 注入漏洞 1 SQL注入 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行指定的SQL语句。具体来说,它是利用现有应用程序,将SQL语句注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入SQL语句得到一个存在安全漏洞的网站上的数据,而不是按照设计者意图去执行SQL语句。 1.1 SQL注入的...
深度学习之aspCMS系统 v3.5.1源代码
03-25
由文章、下载、图片主要功能模块和广告、公告、调查、友情链接、网站统计、用户、数据库管理等多个通用模块组成,每个模块又包含若干个子模块,构建出强大和完善的功能体系。系统防止SQL注入攻击,对密码进行MD5不...
深度学习(asp)CMS系统 Ver3.5.1
05-10
系统防止SQL注入攻击,对密码进行 MD5 不可逆加密处理。用户:admin 密码:admin ---------------------------------------------------------------- 【程序主要功能】 1、文章栏目无限级分类、自由添加,排序 2...
乘风多用户计数器 v3.94 (Sql).rar
07-06
1.核心采用.Net、Mssql数据库、存储过程、缓存技术构建,支持百万级以上的需求,内核十分强健 2.总共60记数器图片样式自由选择,并且可以方便地增加记数器图片样式 3.可以设置计数器显示数字,显示位数,计数器...
乘风多用户计数器 Access版 v4.2.rar
07-09
1.统计系统支持多用户申请,同时支持网站和网店统计 2.总共60种记数器图片样式可以选择,还有两种统计图标可以选择,完全满足你的需求。 3.可以设置计数器显示数字,显示位数,计数器是否隐藏,统计信息是否公开等。...
SQL注入的一个ASP网站源码
12-29
SQL注入的一个ASP网站源码,ASP+ACCESS手动注入环境搭建,用来练手不错!
ASP+ACCESSSQL注入网站源码
05-20
ASP+ACCESSSQL注入网站源码,完美适合网络安全初学者的SQL注入案例
sql注入网站源码
04-09
挺好的带有sql注入漏洞的asp网站源码,可以自行搭建环境。
[转贴]ASP漏洞全接触-进阶篇
longge165的专栏
09-28 919
文章来源:军团论坛     发布时间:2005-05-15 08:29:27         在入门篇,我们学会了SQL注入的判断方法,但真正要拿到网站的保密内容,是远远不够的。接下来,我们就继续学习如何从数据库中获取想要获得的内容,首先,我们先看看SQL注入的一般步骤:  第一节、SQL注入的一般步骤   首先,判断环境,寻找注入点,判断数据库类型,这在入门篇已经讲过了。   其次,根据注入参数
ASP SQL注入
星梦小筑
02-26 892
注入表达式类型: 'and 1='1 原理:ASP网站一般采用的SQL语句:strsql="select * from xx where xx='"&value&"'"    加上注入语句再解释到SQL则成为:select * from xx where xx='value' and 1='1'    无疑如果没有过滤注入的话,这会返回正常页面的,但如果改成    select * fro
SQL注入攻击
人生何适不艰难 赖是胸中万斛宽
06-03 1155
SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入SQL注入
asp+access网站形式的采集+入库
05-17
ASPAccess是两种常见的Web开发技术,在实现网站形式的数据采集及入库方面也有其独特的优势。 首先,ASP是一种服务器端脚本语言,可以与前端页面进行相互交互,使网站具备动态的功能体验。而Access是微软提供的一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值