SQL注入学习之路(一)手工注入access数据库

最新推荐文章于 2022-11-10 03:00:00 发布
最新推荐文章于 2022-11-10 03:00:00 发布
阅读量774 收藏 1
点赞数 1
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_40105738/article/details/82426110
本文是SQL注入学习系列的第一篇,主要聚焦于手工注入Access数据库。首先介绍了Access数据库的基本信息,包括常见的ASP脚本格式和注入点。然后详细阐述了注入的基本步骤,如如何找到注入点,通过特定的URL参数进行刺探数据库,获取表名和列名,以及利用MID和ASC函数猜测字段内容和长度。这对于理解SQL注入原理和实际操作具有指导意义。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

SQL注入学习之路(一)手工注入access数据库

1、认识Access数据库

基本信息

  • 脚本格式:asp
  • 注入点格式:xxx.asp?id=1(注:‘id’可以是其他单词)
  • 后台代码:
    这里写图片描述

2、注入的基本步骤

  • 找到注入点

    在url后输入以下语句:
    and 1 = 1 (正确回显
    and 1 = 2 (错误回显
    ’ (错误回显
    出现以上结果则说明该页面可能是注入点

  • 刺探数据库

    • 获取表名、列名
      url后输入:
      and exists(select * from [表名])
      如果是正确回显,则说明该表存在,反之则不存在
      and exists(select [列名] from [表名])
      如果是正确回显,则说明该表中该列存在,反之则不存在
    • 获字段内容长度
      url后输入:
      and (select top 1 len([列名]) from [表名] ) > n
      n为从1开始的值,
最低0.47元/天 解锁文章

200万优质内容无限畅学
SineWks
关注
墨者学院 - SQL手工注入漏洞测试(Access数据库)
多崎巡礼的博客
07-26 1015
进入公告找到注入点 地址输入 and 1=1 =1正常,and 1=2 出现报错说明有注入点。 3.猜测存在的表,and exists (select * from admin),我这里凭借着经验猜出来是admin表,如果不是的话可以继续猜,格式为:and exists (select * from 表名),运行不报错,说明就是存在这个admin表了。 4.猜测这个表里面有哪些字段:order ...
微软数据库SQL注入漏洞解析——Microsoft AccessSQLServerSQL注入防御
最新发布
CoffeMilk的博客
09-12 2382
般进行SQL注入前,都需要对这些数据库所对应的程序寻找注入点,常见的SQL注入般存在于参数输入、输出的位置(如:注册登录、不同页码、参数内容的数据查询、不同页面切换、留言版等内容)。
SQL手工注入access手工注入
The__DeepSea的博客
05-13 586
、判断是否存在注入‘       页面返回错误,可能存在注入and 1=1  页面返回正确    and1=2 页面返回错误  可能存在注入二、判断数据库类型1.and (select count(*) from mysysobjects)>0  -返回权限不足 为access数据库2.and (select count(*) from sysobjects)>0  -但会正常为MS...
access数据库的简单手工注入
qq_42042353的博客
09-29 1109
首先利用and 1=1 and 1=2 判断此页面是否用注入点(当然这里是整数型的判断(c_id=266)),如果是字符串型的,则可以用 'and ‘1’='1 'and ‘1’='2 进行判断 利用and exists (select * from admin) 判断数据库中admin表是否存在,判断的话需要爆破,爆破的话意味着成功率不高 利用and exists (select user...
SQL注入之——ACCESS手工注入
温柔小薛的博客
04-04 970
ACCESS手工注入 目录ACCESS手工注入ACCESS手工注入(上)理论基础爆出数据库类型(需要低版本IE浏览器)猜数据库名猜字段名及字段长度猜字段值ACCESS手工注入(下)SQL 注入中的高级查询——order by 与 union selectunion select 查询攻击测试ACCESS手工偏移注入ACCESS手工跨库查询 ACCESS手工注入(上) Access数据库般用于流量...
SQL手工注入漏洞测试(Access数据库)
天天学安全专属博客
11-10 854
SQL手工注入漏洞测试(Access数据库)Access数据库注入
SQL手工注入大全:包含各种类型的SQL注入,实现手工注入的乐趣,此资源你值得拥有。
05-31
宽字节注入SQL手工注入漏洞测试(Oracle数据库)SQL手工注入漏洞测试(Sql Server数据库)SQL手工注入漏洞测试(Access数据库)SQL手工注入漏洞测试(PostgreSQL数据库)SQL手工注入漏洞测试(MongoDB数据库)SQL...
SQL注入Access注入手工
12-14
SQL注入种常见的网络安全威胁,主要针对使用SQL语言的数据库系统,如AccessSQL Server。当个Web应用程序未能充分验证用户输入的数据,攻击者可以利用这漏洞,在查询语句的末尾添加恶意的SQL代码,从而在...
Access数据库手工注入
IerkeU的博客
11-28 1940
ACCESS数据库手工注入 access数据库种非常简单但是功能完整的数据库,很适合小型网站创建,可以很轻松管理表列,有很多管理工具。 access数据库结构? access数据库是这么个结构: 表名---->列名---->内容数据 他不像其他的数据库样、里面创建多个数据库然后才是表再是内容、而access的话只有个库若干张表。 access注入基本流程? 判断有没有注入点 猜解表名 猜解字段 猜解管理员ID值 猜解用户名密码长度 猜解用户名密码 ASP的
墨者 - SQL手工注入漏洞测试(Access数据库)
吃肉唐僧的博客
07-05 755
order by 1 ,有回显,存在注入点 new_list.asp?id=1 and exists(select * from admin)测试是否存在admin,纯靠猜...... 存在admin表,接下来测回显位置 /new_list.asp?id=1 union select 1,2,3,4 from admin 接下来猜字段值,and exists ...
Access数据库手工注入全攻略——小白必看
07-18
通过网上资料加大神指导,写出来的关与asp手工注入的攻略。
mysql+access数据库手工注入
SoulCat
09-17 1121
mysql+access数据库手工注入 所有的玩笑里都藏着认真. 注入可以分很多种 根据数据类型 1,整形注入 2,字符型注入 3,搜素型注入 根据注入语法 1,可联合查询注入 2,可多语句查询注入 3,报错型注入 4,布尔型注入 5,基于时间延迟注入 6,宽字节注入 (前提字符型注入 ,gbk %df(查gbk表)%27单引号 生成汉字) mysql注入: 常用函数: system_...
Access手工注入
Unknowncheats的博客
09-14 481
access手工注入 哈哈哈哈,,,我顾北清又回来啦,接着更新。 实验环境:win2008R2虚拟机,物理机(也就是我的win10)。 搭建环境用的是access+asp源码。 环境搭建可以参照这里,不同的是在第六步勾选应用程序开发选项。 环境搞完之后大概是这个样子的: 接着来手工注入下。 首先判断有没有注入点,随便点进个页面:%20是空格的转码。and 1=1没有出错,再来试试and 1=2。 出错了,说明它将这条语句带入查询了,说明存在注入点。 1.联合查询法 先判断字段长度,使用orde...
SQL 注入ACCESS
Kevin
07-27 3810
如果你已经掌握了SQL注入漏洞的些相关的基础知识,那是不是觉得看了理论有种想急于知道如何实际动手操作的冲动,好吧,Let’s go,这篇文章我们就来实战SQL注入,不过针对网站的数据库ACCESS的,毕竟在国内都是用虚拟机,般只有FTP上传权限,所以还是很有市场的。 首先要注意的是,如果你以前没试过SQL注入的话,那么第步先把IE菜单=>工具=>Internet选项=>高级=>显示友好
web渗透测试--手工注入Access数据库
D-R0s1的博客
07-16 1008
                                                                                                  Web渗透                                                                                                ...
access手工注入
baynk的博客
06-07 5975
写下来,加深印象,方便后期整理。 判断注入点 可以使用如下方法来判断: 特殊符号,\、/、'、"等。 -0 减数字看是否变化。 逻辑关系,and比较常用,这里讲讲orxor,or、xorand都是相反的,如果错误的就会回显正常,如果是正确的就会回显不正常。xor肯定是不同为真,相同为假,这个好理解,但是数据库里面or的逻辑关系到是有点奇怪了,同时为真时回显会不正常。 判断数据库类型 a...
SQL注入原理-手工注入access数据库
WQ_762的博客
08-06 701
SQL注入原理-手工注入access数据库 【实验原理】 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 首先,在以【.asp?id=32(数字任意)】结尾的链接依次添加语句【’】、【and 1=1】【and1=2】,来判断网站是否存在注入点。 然后,添加语句【and exists(select * fr...
全面掌握SQL手工注入技术,多数据库环境下的注入技巧详解
资源摘要信息:"SQL手工注入大全是份详细介绍了各种类型SQL注入技术的资料。它包含了不同数据库系统如Oracle、Sql Server、Access、PostgreSQL、MongoDB、Sybase、SQLite、Db2以及MySQL等的SQL注入测试方法。此外,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值