数据库管理系统对SQL注入的影响

最新推荐文章于 2024-05-09 09:11:23 发布
原创 最新推荐文章于 2024-05-09 09:11:23 发布 · 539 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#SQL注入 #access

本文探讨了不同数据库管理系统对SQL注入的影响,并详细介绍了如何使用SqlMap工具针对Mysql和Access数据库实施SQL注入攻击,包括获取数据库信息、枚举表及列名等关键步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Why

首先说明为什么不同呢?不同数据库管理系统基本的SQL语句相同,但是支持的某些函数,数据库的整体结构和组织方式是不相同的。比如mysql数据库中特有的information_schema数据库,里面存有所有的数据库名称,以及各个数据库中表的名称等等信息。

对SQL注入的影响

数据库管理系统的不同导致SQL注入时,进行利用的方式和难度不相同,Mysql数据库中直接通过version()等函数以及infomation_schema数据库得到数据库版本,用户名以及所有数据库的信息。但access就不能通过这些方式。

SqlMAP对不同数据库的处理

SqlMap在对access数据库进行处理时,不能使用-dbs等选项,进行数据表的枚举时,采用的是暴力破解的方式,字典位于txt/common-tables.txt中。

SqlMAP对Access数据库架构网站注入的步骤如下:

sqlmap.py -u "http://ip/" --data="postdata" --level=5 --risk=3

sqlmap.py -u "http://ip/" --data="postdata" --level=5 --risk=3 --tables //枚举表

sqlmap.py -u "http://ip/" --data="postdata" --level=5 --risk=3  --columns -T  "tablename"   // 枚举列名

sqlmap.py -u "http://ip/" --data="postdata" --level=5 --risk=3 --dump -C "name1, name2" -T "tablename" //获取name1, name 2列的数据

SqlMAP对mysql数据的注入步骤见《metasploit渗透测试魔鬼训练营》 之 SQL注入

SQL注入(不同数据库之间)
qi_SJQ_的博客
11-08 1421
简要学习各种数据库的注入特点: 数据库:Access, mysql ,mssql(sql server) mongoDB, postgresql, sqlite,oracle, sybase等。 工具:Sqlmap, NoSQLAttack, Pangolin等。 其他数据库大体结构都相同,但access数据库存在于asp网站内的一个文件夹下,不同网站对应不同数据库。 因此注入方式有所不同,不用注库名,而且没有access数据库没有文件读写功能等等特点。 故有以下结构: ...
数据库-SQL 注入SQL 注入漏洞详解 - Union 注入
qq_31104067的博客
10-15 835
SQL 注入 即是指 Web 应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在 Web 应用程序中事先定义好的查询语句的结尾上添加额外的 SQL 语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
学生信息管理系统--SQL注入
令仔很忙
08-18 3716
当你在登陆学生管理系统的时候,添加的用户名若和你数据库中的数据不符时,就会弹出一个窗体,告诉你没有这个用户;但是当你在用户名中输入数字或者字母外加英文状态下的单引号,比如:“a'”
sql注入攻击对mysql影响_SQL注入攻击原因及预防
weixin_32052253的博客
01-30 289
前言客户测试反馈说我们的代码有SQL注入的风险,查了一下确实有一处。咱来说说SQL注入问题吧SQL注入到底是什么SQL注入是一种注入攻击,,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;还可以使用SQL注...
SQL 注入漏洞(二)之 mysql 注入的相关知识
不秃头的程序Yang
06-10 325
1、CHEMA_NAME
10 个 SQL 注入工具(非常详细)零基础入门到精通,收藏这一篇就够了
leah126的博客
05-09 5773
其主要的目标是在存在着漏洞的数据库服务器上提供一个远程的外壳,甚至在一个有着严格的防范措施的环境中也能如此。Havij不仅能够自动挖掘可利用的SQL 查询,还能够识别后台数据库类型、检索数据的用户名和密码hash、转储表和列、从数据库中提取数据,甚至访问底层文件系统和执行系统命令,当然前提是有 一个可利用的SQL注入漏洞。内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
eml企业通讯录管理系统 v5.4.4 SQL注入1
08-03
本文将深入探讨Eml企业通讯录管理系统v5.4.4中的SQL注入漏洞,这是一种常见的安全问题,可能会导致数据泄露、系统权限篡改等严重后果。首先,我们要理解SQL注入的基本概念和其在该系统中的具体表现。 **SQL注入**是...
数据库课程设计:高校教务管理系统(Java代码、SQL代码、报告)
06-28
本项目是一个高校教务管理系统的实现,涉及到的主要技术包括数据库管理(SQL)、后端编程(Java)以及文档撰写(可能是Word文档,即zzdx.doc)。下面将对这些关键知识点进行详细的解释和探讨。 首先,SQL...
学生成绩管理系统(前端、后端、数据库,手动拼接sql命令,不考虑sql注入).zip
最新发布
02-20
SQL注入是一种常见的网络攻击手段,攻击者通过在输入字段中插入恶意SQL代码,试图破坏后端数据库的安全性。为了防止这种攻击,在实际开发中应该避免直接使用用户输入拼接SQL语句,而是使用安全的编程实践。 在本...
南方数据企业网站管理系统源码包-存有sql注入漏洞与数据库备份getshell漏洞.zip
01-05
南方数据企业网站管理系统-存有sql注入漏洞与数据库备份getshell漏洞,如有侵权,请联系优快云管理员删除即可
学生成绩管理系统管理系统源代码java+sql server
05-14
适合大学生毕业设计源代码,本系统主要分为5大功能模块,分别为:  登录模块:实现用户登录。  参数设置:包括学生年级设置、班级设置、考试科目设置以及考试类别设置。  基本信息:包括学生信息、教师信息以及学生考试成绩信息管理。  系统查询:包括基本信息查询、成绩信息查询以及汇总查询。  系统管理:包括用户维护、系统退出等功能。
SQL注入-其他数据库(AccessSQLserver、Oracle)
Love&Share
10-29 1530
文章目录access+asp基础联合查询盲注SQL server基础联合查询报错注入information_schema延时注入执行系统命令LOG备份getshellopenrowset转发Oracle基础联合查询注入反弹注入报错注入布尔盲注延时注入其他注入方法高级注入位移注入参考连接 access+asp 基础 access数据库 Microsoft Access是Microsoft的数据库管理系统(DBMS)一般搭配windows server IIS和asp使用 acccess数据库与其他数据库.
不同数据库的SQL注入不同手工注入方法的汇总
weixin_48421613的博客
06-10 1930
不同数据库的注入方式 以下资源部分为自己的理解,部分为墨者上面的解题思路,此处做的是汇总,由于不知墨者大佬的出处,故无法做出转载地址,所以此文归类为转载,若是墨者大佬在这里看到了属于你的文章,觉得我发不太好请及时联系我,我好做删除处理 Mysql手工注入 大家可以去看一下博客,有很详细的讲解如何进行sql注入 https://blog.youkuaiyun.com/weixin_48421613/article/details/107488560 https://blog.youkuaiyun.com/weixin_4842161
为什么数据库使用SQL语言?
xingduan5153的博客
11-26 537
一直以来,数据的持久化都是依赖于文件存储,包括windows的excel,word,txt等,数据库也是使用的文件,比如oracle的.DBF;Access的.mdb都是使用的文件。既然是文件,我们知道计算机只识别0,1两个机器码,其实文件就都是一系列的二进制编码,不同的文件使用不同的方式打开,比如在windows上强制使用文本方式打开dbf文件会显示一堆...
sql数据库开发-1:为什么要用到数据
kerryqpw的博客
12-26 597
为什么要用到数据库? 软件的运行都是在内存中运行,运行完成断电,会释放内存,程序运行结束或开始时都要 将数据存档硬盘中,或将数据从硬盘中取出到内存中使用,就需要一个专门的媒介(数据库) 变量就是一个中转站,一个仓库 数据库就是一个大的变量,大的数据仓库。 数据库是编程语言的重要组成部分 如需熟练的掌握数据的运转,还需熟练应用Excel、EditPlus、UE 数据有很多种表...
SQL注入攻击介绍】
qq_55213436的博客
07-23 7629
sql注入已知以来都稳居owasp-top10榜首,近年来更是爆出很多的数据库泄露攻击事件。今天简单的分析以下sql注入的一些特性和方式。
关于SQLMAP所有参数的学习笔记
热门推荐
Mi1k7ea
02-27 2万+
本文是对于学习SQLMAP参数的使用的一些笔记,不足之处很多会慢慢改进~ SQLMAP是一款开源的、用于SQL注入漏洞检测及利用的工具,它会检测动态页面中get/post参数、cookie、http头,进行数据榨取、文件系统访问和操作系统命令执行,另外还可以进行Xss漏洞检测。关于其更多的描述这里就不多说了,直接入正题,下面从参数的每个大部分的分类开始讲。 在Kali中已默认安装,其他Li
SQL注入 ——sql数据库操作基础(一)
Gjqhs的博客
02-16 1733
实验目的 熟悉 MySQL( MariaDB)薮据库的基础与进阶语法,加深对SQL命令语句的理解, 为后续SQL注入攻击与防护实验打下坚实的基础。 实验环境 (1)操作系统: Centos7 (2)安装的应用软件: Apache、 MySQL( MariaDB)、PHP;DWA、 SQLi-Labs Debug3.0漏洞网站环境 MySQL( MariaDB)数据库帐号root,密码为空 实验原理 MySQL( MariaDB)数据库基本命令的功能 实验步骤 第一部分: MySQL(
卧槽,SQL注入竟然把我们的系统搞挂了!
码农翻身
02-21 1607
前言先来给大家看个漫画,原创是xkcd,我把它翻译成了中文。如果你能在看漫画的时候能会心一笑,基本上就理解什么是SQL注入了,这里再啰嗦两句, 来个更简单的例子, 例如这个SQL做了字符...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值