本文介绍了一种有回显的Mssql手工注入方法,包括寻找注入点、判断回显字段、爆库及内容的过程。通过实验,读者可以掌握如何利用系统表sysobjects在SQL Server中进行手工注入,获取数据库信息。
预备知识
首先需要了解盲注入的过程:
1.寻找注入点。
2.判断页面中是否有回显字段,并找出回显字段。
3.根据回显字段,获取数据库名字、表名、字段名以及字段内容。
另外,SQL Server数据库的一切信息都保存在它的系统表格里,每个数据库内都有系统表sysobjects,它存放该数据库内创建的所有对象,如数据库,表,约束、默认值、日志、规则、存储过程等,每个对象在表中占一行。
更多信息参阅:
http://blog.youkuaiyun.com/xabc3000/article/details/7615378
http://www.cnblogs.com/atree/p/SQL-Server-sysobjects.html
实验目的
通过该实验可以让用户掌握手工注入mssqlsever的过程,通过系统表sysobjects可以注出该数据库中的所有表和内容。
实验环境
测试环境:windows sever 2003,IP地址:10.1.1.215
实验步骤一
1.判断是
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
