access数据库的简单手工注入

最新推荐文章于 2024-10-17 20:00:40 发布
原创 最新推荐文章于 2024-10-17 20:00:40 发布 · 1.1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sql注入

本文详细介绍了如何通过SQL注入点判断页面安全性,利用and1=1等语句判断整数型注入点,以及使用'and‘1’='1进行字符串型注入点判断。深入探讨了利用andexists(select*fromadmin)判断数据库中特定表的存在性,通过爆破方式获取表列信息,并利用orderbynumber确定表列数。最后,通过联合查询显示指定列的数据。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

首先利用and 1=1
and 1=2
判断此页面是否用注入点(当然这里是整数型的判断(c_id=266)),如果是字符串型的,则可以用
'and ‘1’='1
'and ‘1’='2
进行判断
在这里插入图片描述
在这里插入图片描述

利用and exists (select * from admin) 判断数据库中admin表是否存在,判断的话需要爆破,爆破的话意味着成功率不高
利用and exists (select username from amin)判断表中的列,爆破

之后利用order by number 语句进行判断这个表一共有多少列,order by是给表排序用的,后面加数字以为着是利用这个表中的第多少列进行排序,这里可以判断列数(最大的列数返回正常的页面)
在这里插入图片描述

这里用到了联合查询,之前猜出来数据库中有admin表,显示此页面时select xxx,xxx,xxx… from xxxtable的语句被传到后台数据库被执行,而union联合查询需要前后的select后面接的查找数相同,也就是列数相同。当查询结果被传到浏览器上时,很多结果是被放在其他地方的, 你可能看到可能看不到,或者值是空的,但是这里关于第四列和第五列被传到了界面上来
在这里插入图片描述

再将4,5列的值改为之前爆破出来的admin表中的列名,这下就显示出了这两列名中的值
在这里插入图片描述

Microsoft Access Database使用
modi000的博客
04-29 2674
SELECT * FROM 学生表 WHERE 姓名 = "张三" //如果是文本类型,要加英文分号。SELECT * FROM 学生表 WHERE 学号 = 1 //如果是数值,直接写。当涉及到大规模数据时,使用excel非常的卡顿,使用access就不会出现这个问题。“小规模数据用Excel,大规模数据用Access。3.access中的导出查询结果为excel。直接右键,新建 access数据库。修改sql语句,点击运行。选择视图--- sql视图。
Access数据库手工注入
IerkeU的博客
11-28 1940
ACCESS数据库手工注入 access数据库 是一种非常简单但是功能完整的数据库,很适合小型网站创建,可以很轻松管理表和列,有很多管理工具。 access数据库结构? access数据库是这么个结构: 表名---->列名---->内容数据 他不像其他的数据库一样、里面创建多个数据库然后才是表再是内容、而access的话只有一个库若干张表。 access注入基本流程? 判断有没有注入点 猜解表名 猜解字段 猜解管理员ID值 猜解用户名和密码长度 猜解用户名和密码 ASP的
【网络安全-SQL注入(3)】SQL注入----一篇文章教你access数据库SQL注入以及注入点利用
m0_67844671的博客
10-01 1765
本篇文章以凡诺企业网站管理系统为例,讲解了access数据库是如何进行SQL注入的,以及注入点如何利用,如何判断查询字段个数,如果用联合查询爆出数据库数据等;【网络安全-SQL注入SQL注入----一篇文章教你access数据库SQL注入以及注入点利用。SQL注入【3】;
Access手工注入
Unknowncheats的博客
09-14 481
access手工注入 哈哈哈哈,,,我顾北清又回来啦,接着更新。 实验环境:win2008R2虚拟机,物理机(也就是我的win10)。 搭建环境用的是access+asp源码。 环境搭建可以参照这里,不同的是在第六步勾选应用程序开发选项。 环境搞完之后大概是这个样子的: 接着来手工注入一下。 首先判断有没有注入点,随便点进一个页面:%20是空格的转码。and 1=1没有出错,再来试试and 1=2。 出错了,说明它将这条语句带入查询了,说明存在注入点。 1.联合查询法 先判断字段长度,使用orde...
Access数据库注入
最新发布
佛系摆烂
10-17 452
使用情况:知道表名,不知道字段。
E103-数据库安全-手工注入access数据库.pdf
12-02
E103-数据库安全-手工注入access数据库
Access数据库手工注入攻防实战教程
"E103-数据库安全-手工注入access数据库" 本文主要讲解了数据库安全的一个常见问题——手工注入Access数据库Access数据库是Microsoft Office套件中的一款轻量级数据库管理系统,常用于小型企业或个人数据管理。...
SQL手工注入漏洞测试(Access数据库)
Fisher
12-13 1353
1.判断数据库 首先拿到手依然是找注入点,此题注入点id=1,已经找到接着进行判断数据库类型,当然我们已经找到这个数据库access,但是我们仍然需要判断一下。具体参照https://blog.youkuaiyun.com/happyorange2014/article/details/49754951这个博客写的异常好,介绍了怎么判断access数据库。 试了一下最好用的还是用len()和chr()函数进行判断 chr(65)='A’,发现界面正确,说明可以用chr()函数 接下可以看出来len(‘a’)=1.l
SQL手工注入大全:包含各种类型的SQL注入,实现手工注入的乐趣,此资源你值得拥有。
05-31
此资源包含:宽字节注入SQL手工注入漏洞测试(Oracle数据库)、SQL手工注入漏洞测试(Sql Server数据库)、SQL手工注入漏洞测试(Access数据库)、SQL手工注入漏洞测试(PostgreSQL数据库)、SQL手工注入漏洞测试(MongoDB...
Access数据库手工注入全攻略——小白必看
07-18
通过网上资料加大神指导,写出来的关与asp手工注入的攻略。
accesss数据库 注入
安全界的彭于晏的博客
06-27 137
Access数据库注入方法 Access数据库的函数 select len("string") 查询给定字符串的长度 select asc("a") 查询给定字符串的ascii值 top n 查询前n条记录 select mid("string",2,1) 查询给定字符串从指定索引开始的长度 盲注Access数据库 Access没有数据库的概念,所有的表都是在同一个数据库下。所以,我们不用去判断当前的数据库
SQL手工注入access手工注入
The__DeepSea的博客
05-13 586
一、判断是否存在注入‘       页面返回错误,可能存在注入and 1=1  页面返回正确    and1=2 页面返回错误  可能存在注入二、判断数据库类型1.and (select count(*) from mysysobjects)>0  -返回权限不足 为access数据库2.and (select count(*) from sysobjects)>0  -但会正常为MS...
SQL注入学习之路(一)手工注入access数据库
Sine空间站
09-05 774
SQL注入学习之路(一)手工注入access数据库 1、认识Access数据库 基本信息 脚本格式:asp 注入点格式:xxx.asp?id=1(注:‘id’可以是其他单词) 后台代码: 2、注入的基本步骤 找到注入点 在url后输入以下语句: and 1 = 1 (正确回显 and 1 = 2 (错误回显 ’ (错误回显 出现...
SQL注入之——ACCESS手工注入
温柔小薛的博客
04-04 970
ACCESS手工注入 目录ACCESS手工注入ACCESS手工注入(上)理论基础爆出数据库类型(需要低版本IE浏览器)猜数据库名猜字段名及字段长度猜字段值ACCESS手工注入(下)SQL 注入中的高级查询——order by 与 union selectunion select 查询攻击测试ACCESS手工偏移注入ACCESS手工跨库查询 ACCESS手工注入(上) Access数据库一般用于流量...
渗透测试---手把手教你SQL注入(7)---Access数据库注入
weixin_52796034的博客
10-16 998
在讨论SQL注入中的Access数据库注入时,首先需要了解Access数据库的一些基本知识。Microsoft Access 是一种关系型数据库管理系统,可用于存储、管理和检索数据。虽然Access通常用于较小的数据库和单服务器环境,但它也可以用于大型企业和互联网应用。 此外,Access与其他数据库管理系统(如MySQLSQL Server等)在处理SQL注入方面有所不同。
ACCESS数据库注入解析
recklesszhang的博客
12-16 3833
前言:在进行注入之前我们需要了解access数据库的特征,access数据库比较特殊:其结构与mysql ,mssql,MongoDB,postgresqlsqlit等数据不通。区别在与access数据库的接口是:表--列--数据 而其他数据库是:数据库--表--列--数据。并且access数据库没有记录所有表名和列名的表,也就意味着我们需要依靠字典进行猜解表名和列名。了解到这里那么我们就可以开始进行实施注入了。 实验背景:我这里使用的是mozhe靶场进行演示(墨者学院_专注于网...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值