SQL注入的高级应用ACCESS篇
新客网 XKER.COM 2006-09-15 来源: 收藏本文
【SQL注入工具猜解法】
普通针对ACCESS数据库的注入方法确实很烦,因为猜解本来就很烦的工作,而且这些表段这些字段还要自己手动猜解,所以人们想到了用程序去实现,于是网络上出现了不少好的工具,随着这些工具的出现,使SQL注入更加的容易。这一小节我们将为大家稍微演示一下SQL注入工具的使用。但是笔者还是想说,作为网络安全爱好者,应该懂点基础的原理,会用工具并不代表你掌握了这个漏洞。
工具:啊D的SQL注入工具
检测对象:雨点下载系统
URL:http://192.168.1.123/yd/
我们知道雨点下载系统list.asp view.asp对id参数过滤不严而产生了SQL注入漏洞,并且雨点下载系统是开放源码的,所以我们很容易知道其数据库的结构。其账号密码的信息放在表userinfo里,对应的分别为id usr pwd。
1.扫描注入点
填上要检测的网址,点检测,工具便开始自动为你检测了,如图1:
图1
这里可以看到,工具为我们扫到了两个注入点,我们就拿其中一个继续吧,选中一个网址,右键会出现菜单,点注入检测,会跳到注入检测的的画面。 本篇文章发表于www.xker.com(小新技术网)
2.检测表段
点检测然后程序就做好准备检测表段了,点检测表段,程序就会自动开始为你检测表段,不用再像以前输入and exists (select * from 表段名)来判断了,程序速度当然比手工快多了。如图2:
图2
细心的读者会看到软件的状态栏不停的显示工具所猜解的表段呵呵,我们可以向软件学习SQL注入的语法。
3.检测字段
很遗憾,程序只检测到一个表段落config,我们知道账号密码在另一个表段的userinfo,所以我们手动添加一个userinfo,在检测表段那栏点击右键会出现相应的菜单,选手动添加表,见图3:
图3
填加userinfo然后选中它就可以开始检测字段了。点检测字段,程序就开始自动猜解字段,如图4:
图4
猜解出三个字段usr pwd id,如果没有猜解出来也可以自己手动添加字段。
4.猜解字段内容
选中你要猜解的字段点右边的检测内容就可以帮你猜解长度并猜解其字符内容,如图5:
图5
最新相关文章
发表评论
普通针对ACCESS数据库的注入方法确实很烦,因为猜解本来就很烦的工作,而且这些表段这些字段还要自己手动猜解,所以人们想到了用程序去实现,于是网络上出现了不少好的工具,随着这些工具的出现,使SQL注入更加的容易。这一小节我们将为大家稍微演示一下SQL注入工具的使用。但是笔者还是想说,作为网络安全爱好者,应该懂点基础的原理,会用工具并不代表你掌握了这个漏洞。
工具:啊D的SQL注入工具
检测对象:雨点下载系统
URL:http://192.168.1.123/yd/
我们知道雨点下载系统list.asp view.asp对id参数过滤不严而产生了SQL注入漏洞,并且雨点下载系统是开放源码的,所以我们很容易知道其数据库的结构。其账号密码的信息放在表userinfo里,对应的分别为id usr pwd。
1.扫描注入点
填上要检测的网址,点检测,工具便开始自动为你检测了,如图1:
图1
这里可以看到,工具为我们扫到了两个注入点,我们就拿其中一个继续吧,选中一个网址,右键会出现菜单,点注入检测,会跳到注入检测的的画面。 本篇文章发表于www.xker.com(小新技术网)
2.检测表段
点检测然后程序就做好准备检测表段了,点检测表段,程序就会自动开始为你检测表段,不用再像以前输入and exists (select * from 表段名)来判断了,程序速度当然比手工快多了。如图2:
图2
细心的读者会看到软件的状态栏不停的显示工具所猜解的表段呵呵,我们可以向软件学习SQL注入的语法。
3.检测字段
很遗憾,程序只检测到一个表段落config,我们知道账号密码在另一个表段的userinfo,所以我们手动添加一个userinfo,在检测表段那栏点击右键会出现相应的菜单,选手动添加表,见图3:
图3
填加userinfo然后选中它就可以开始检测字段了。点检测字段,程序就开始自动猜解字段,如图4:
图4
猜解出三个字段usr pwd id,如果没有猜解出来也可以自己手动添加字段。
4.猜解字段内容
选中你要猜解的字段点右边的检测内容就可以帮你猜解长度并猜解其字符内容,如图5:
图5
上一篇:黑客常用攻击手段揭秘及其预防措施介绍 下一篇:黑客攻破SQL服务器系统十种方法
最新相关文章发表评论
评论内容:不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
阅读排行
随机推荐
实用信息推荐