av手机免费在线观看,国产女人在线视频,国产xxxx免费,捆绑调教一二三区,97影院最新理论片,色之久久综合,国产精品日韩欧美一区二区三区

SQL

本地SQL注射攻略分析曝光示范

時間:2024-07-17 12:02:59 SQL 我要投稿
  • 相關推薦

本地SQL注射攻略分析曝光示范

  何為本地注射?

  簡單地講,就是本來你在服務器上無法進行SQL注入,因為服務器上的WEB程序很安全,對request("id")這樣的請求過濾很嚴,或是限制輸入格式為數(shù)字等等方法,你只能選擇放棄放棄注入。

  但是在有的時候,你可以在本機的IIS里進行注入,從而達到對服務器注射的目的,避過服務器的request參數(shù)提交過濾。舉例子來說明吧,現(xiàn)在你誤打誤撞,利用暴庫或是其他的漏洞,得到了服務器的conn.asp文件,那么恭喜你,入侵離成功不遠了。

  這里面記錄的就是服務器的數(shù)據(jù)庫的一些信息了,一般也會得到連接密碼,說明是MSSQL的系統(tǒng),非常好搞。如果服務器有URL可以進行SQL語句注射的話,恢復下XP_CMDshell,我們就能執(zhí)行很多命令了,DOS命令也隨便你。但是很可惜,我們不能注射,只有這么一個conn.asp文件可以利用。

  那么,我們在本機來欺騙服務器,不過你要知道那個服務器采用的是什么web程序,不然你下面就不好寫代碼,我們來寫一個sqltest.asp文件,在其中不做任何過濾,將這個文件和conn.asp一起放到你的IIS中的wwwroot下面,這樣你就能通過Localhost來訪問啦。

  那個DVBBSmdb是我虛構的,大家要改成這個web程序的數(shù)據(jù)庫的庫名?吹?jīng)]有,id的提交參數(shù)沒有經(jīng)過任何的過濾,沒有用replace或是其他的函數(shù),F(xiàn)在我們在啊D中輸入注射URL:http://localhost/sqltest.asp?id=1。接著用啊D在本地服務器執(zhí)行命令或是跑用戶名和密碼,就等同于在你要入侵的服務器上進行注射,繞過了它的防注入措施。

  這就是本地欺騙注射,明白了吧?

【本地SQL注射攻略分析曝光示范】相關文章:

sql語法大全03-23

數(shù)碼相機的曝光原理06-08

Sql認證考試內容06-08

MySQL導出導入SQL文件命令方法06-29

關于JDBC連接SQL2000的詳細流程07-16

國慶旅游攻略09-22

廈門旅游攻略04-03

英國留學攻略精選04-07

臨床執(zhí)業(yè)醫(yī)師考點:鹽酸雷尼替丁注射液07-10

注射藥物的溶媒配伍及給藥注意事項10-22