asp+access sql手工注入步骤

最新推荐文章于 2025-02-13 15:37:20 发布

Geecky

最新推荐文章于 2025-02-13 15:37:20 发布

阅读量1.2w

点赞数 2

分类专栏：渗透

本文链接：https://blog.youkuaiyun.com/Geecky/article/details/51297268

版权

本文详细介绍了ASP页面中Access数据库SQL手工注入的过程，包括理论基础、实战演示和问题解答。通过示例网址，解释了如何利用注入漏洞发现表、列，并猜测字段和表名。文中还探讨了ORDER BY在排序中的作用以及UNION查询的应用。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

理论介绍

数据库结构

access数据库

表

列

单元数据

实例

目标网址：http://127.0.0.1:81/0/0/Production/PRODUCT_DETAIL.asp?id=1513

网站域名：http://127.0.0.1:81/0/0/

文件目录：Production

网站文件：PRODUCT_DETAIL.asp

文件参数名：id

文件参数值：1513

sql查询实现原理：

#include的功能和c语言差不多，asp是一种脚本语言，.asp文件类似于.cpp文件。不过在asp当中，没有.h和.cpp之分，都是asp。

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Geecky

关注关注

2
点赞
踩
5

收藏

觉得还不错? 一键收藏
2
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

62.网络安全渗透测试—[SQL注入篇1]—[Access+Asp-手工注入]

qwsn

08-08

2342

我认为，无论是学习安全还是从事安全的人，多多少少都有些许的情怀和使命感！！！文章目录一、Access 数据库相关概念 1、Access 数据库特点：特有/共有 2、Access 数据库结构：表->字段/列->行数据/记录二、Access+Asp 手工注入 1、Access 数据库注入步骤：6步骤 2、Access 数据库注入示例：

墨者靶场入门：SQL手工注入漏洞测试（Access数据库）

qq_43233085的博客

01-10

1288

入门：SQL手工注入漏洞测试（Access数据库）题目背景介绍实训目标解题方向解题步骤题目背景介绍安全工程师"墨者"最近在练习SQL手工注入漏洞，自己刚搭建好一个靶场环境IIS+ASP+Access，Aspx代码对客户端提交的参数未做任何过滤。尽情的练习SQL手工注入吧。实训目标 1.掌握SQL注入原理； 2.了解手工注入的方法； 3.了解Access的数据结构； 4.了解字符串的MD5...

2 条评论您还未登录，请先登录后发表或查看评论

网络安全系列之四手工SQL注入(ASP)

weixin_33882443的博客

10-07

312

SQL注入是***对数据库进行***的常用手段之一，其核心思想在于：***在正常的需要调用数据库数据的URL后面构造一段数据库查询代码，然后根据返回的结果，从而获得想要的某些数据。下面我们就对之前已经搭建好的***平台进行SQL注入，最终目的是获得网站的管理员账号和密码。目标服务器IP地址：192.168.80.129，***主机IP地址：192.168.80.128。（1）寻找注入点随便打开一...

【渗透技术总结】SQL手工注入总结

最新发布

2401_88326437的博客

02-13

431

给小伙伴们的意见是想清楚，自学网络安全没有捷径，相比而言系统的网络安全是最节省成本的方式，因为能够帮你节省大量的时间和精力成本。坚持住，既然已经走到这条路上，虽然前途看似困难重重，只要咬牙坚持，最终会收到你想要的效果。黑客工具&SRC技术文档&PDF书籍&web安全等（可分享）网络安全产业就像一个江湖，各色人等聚集。

SQL手工注入流程

m0_70389551的博客

04-27

954

P.S.使用记事本打开：为配置文件添加数据库的密码【与小皮中的数据库中的密码一致】P.S.所以我们可以手动创建数据库。执行show databases函数后，返回的结果就是取自Information_schema数据库中的schemata表中的schema_name字段。①综上，上述GET提交方式中的id值在之后的服务器(业务逻辑层)中，会被当作sql语句执行的一个参数(例如where id = $id)。P.S、后端变量$id接收来自前端url网址中传递的id值，并用于sql语句查询中的一个参数。

脚本*** 手工注入ASP

weixin_33755554的博客

07-11

128

1.检测是否存在注入漏洞错误 and 1=1正常 and 1=2 错误注入点：http://www.XXXX.com.cn/newsShow.asp?id=88 2.猜解表段猜表段：xor exists (select * from 要猜解的表段的名字) 猜表段：xor exists (select * from admin) 3.猜解字段猜...

ASP+acc手工注入

rjgcwl的专栏

01-14

643

ASP+acc手工注入 SQL注入这么长时间，看见有的朋友还是不会手工注入，那么我来演示一下。高手略过。我们大家知道，一般注入产生在没经过虑的变量上，像ID?=XX这样的。下面以这个网址为例：http://zsb.xxx.edu.cn/2j.asp?id=24 and 1=1 返回了正常http://zs

Access数据库手工注入

IerkeU的博客

11-28

1897

ACCESS数据库手工注入 access数据库是一种非常简单但是功能完整的数据库，很适合小型网站创建，可以很轻松管理表和列，有很多管理工具。 access数据库结构？ access数据库是这么个结构: 表名---->列名---->内容数据他不像其他的数据库一样、里面创建多个数据库然后才是表再是内容、而access的话只有一个库若干张表。 access注入基本流程？判断有没有注入点猜解表名猜解字段猜解管理员ID值猜解用户名和密码长度猜解用户名和密码 ASP的

SQL手工注入语句

m0_48368237的博客

02-28

675

看看下面的 1.判断是否有注入 ;and 1=1 ;and 1=2 2.初步判断是否是mssql ;and user>0 3.判断数据库系统 ;and (select count() from sysobjects)>0 mssql ;and (select count() from msysobjects)>0 access 4.注入参数是字符 ‘and&nb

简单手工SQL注入过程

m0_49271388的博客

05-17

267

判断是否过滤 1’ or 1=1# 1’ and 1=2# 判断列数 1’ order by 1,2,3# 查看显位点 -1’ union select 1,2,3,4# 爆库名 -1’ union select 1,2,3,database()# 爆表名 -1’ union select 1,2,3,group_concat(table_name) from information_schema.tables where table_schema=‘库名’# 爆列名 -1’ union select 1

asp+Access手工注入案例

zsch591488385的专栏

10-28

1802

今天在空间发了篇日志，问朋友们有没有什么需要我这个小菜检测一下的网站，日志发出后，有位朋友来留了一个网站的地址：呵呵，当时听那朋友说的，他们好多人都不行，拿不下，我被吓到了，呵呵，想着别人那么多人都拿不下的站，我一个小菜鸟能拿下？呵呵，不过还是抱着试试看的心情打开了这个网站，在主站转了转，用的是CMS，由于俺是小菜，对CMS不懂，于是找到后台，看可否直接登录，后台地址为： htt

简单ASP手工注入流程

09-27

假设这里我们猜解出来的16位管理员密码是：7a57a5a743894a0e 有经验的就一眼看出这是经过MD5加密过的密文，需要解密后才能登陆使用，于是我们就在解密网站或者使用工具解密此密文，得出密码：admin 经过幸苦劳累的手工注入，我们搞定了管理员账户为：admin520，密码为：admin，接下来我们就继续猜测管理员后台登陆网址常见的ASP的管理员后台登陆网址如下：

sql注入流程（手工）学习

mikeyning的博客

07-09

595

sql注入流程（手工）学习 sql注入一.信息收集 a. 数据库类型 -> 报错信息 ->特有语句 b.数据库版本 c.数据库用户 d.判断数据库权限二.数据获取 a.获取库信息->获取当前库->获取所有库 b.获取表信息 c.获取列信息 d.获取数据三.提权 a.根据数据库权限 1.执行系统命令->直接维权 2.读文件->读取数据库配置文件，尝试远程连接->读系统配置文件，收集信息 3.写文件->写webshell到网站目录查询数据核心语法

SQL手工注入

peanut5036的博客

01-04

494

sql手工注入的一般流程，信息收集，判断注入点，联合查询等

ACCESS手工注入

shw_yzh的博客

08-20

504

ACCESS环境搭建查看此文章。

Access手工注入

Unknowncheats的博客

09-14

465

access手工注入哈哈哈哈，，，我顾北清又回来啦，接着更新。实验环境：win2008R2虚拟机，物理机（也就是我的win10）。搭建环境用的是access+asp源码。环境搭建可以参照这里，不同的是在第六步勾选应用程序开发选项。环境搞完之后大概是这个样子的：接着来手工注入一下。首先判断有没有注入点，随便点进一个页面：%20是空格的转码。and 1=1没有出错，再来试试and 1=2。出错了，说明它将这条语句带入查询了，说明存在注入点。 1.联合查询法先判断字段长度，使用orde...

asp和php注入,asp手工注入

weixin_42181686的博客

03-12

162

判断是否存在注入http://URL.asp?id=24 and 1=1 返回了正常http://URL.asp?id=24 and 1=2 返回了错误注入存在判断数据库是ACC或MSS:ACCESS的系统表是msysobjects,且在WEB环境下没有访问权限,MSS的系统表是sysobjects,在WEB环境下有访问权限。http://URL.asp?id=24 and (select cou...

渗透测试之MSSQL手工注入基本流程

LKmnbZ's Blog

11-08

611

1. 简单测试 test.aspx 内容如下： <%@ Page Language="C#" AutoEventWireup="true" %> <%@ Import Namespace="System.Data" %> <%@ Import namespace="System.Data.SqlClient" %...

access数据库的简单手工注入

qq_42042353的博客

09-29

1078

首先利用and 1=1 and 1=2 判断此页面是否用注入点（当然这里是整数型的判断（c_id=266）），如果是字符串型的，则可以用 'and ‘1’='1 'and ‘1’='2 进行判断利用and exists (select * from admin) 判断数据库中admin表是否存在，判断的话需要爆破，爆破的话意味着成功率不高利用and exists (select user...