V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
buyaoshuohua
V2EX  ›  问与答

sql 注入问题

  •  
  •   buyaoshuohua · 2016-01-03 22:00:07 +08:00 via iPhone · 2394 次点击
    这是一个创建于 3276 天前的主题,其中的信息可能已经有所发展或是发生改变。
    access mysql 注入只有网络搜索到的方式吗?
    16 条回复    2016-01-04 12:04:59 +08:00
    des
        1
    des  
       2016-01-03 22:04:06 +08:00   ❤️ 1
    没看懂你想问什么,建议你能表述清楚了再发不迟
    buyaoshuohua
        2
    buyaoshuohua  
    OP
       2016-01-03 22:04:27 +08:00 via iPhone
    现在很多的网站基本上都过滤了 基本的关键词 菜鸟没思路 就不知道怎么猜下去了
    shixiliufang
        3
    shixiliufang  
       2016-01-03 22:07:26 +08:00   ❤️ 1
    看 sqlmap 的源码
    buyaoshuohua
        4
    buyaoshuohua  
    OP
       2016-01-03 22:11:01 +08:00 via iPhone
    @des 就是我在 access 手工注入的时候 and 空格 还有其他的字符和函数都被过滤了 没办法猜表和列 搜了网上的资料 还是没找到相应的方法。
    buyaoshuohua
        5
    buyaoshuohua  
    OP
       2016-01-03 22:11:29 +08:00 via iPhone
    @shixiliufang 有中文版的吗?
    des
        6
    des  
       2016-01-03 22:14:14 +08:00
    @buyaoshuohua 建议你还是别在这问了,会被喷的很惨的
    buyaoshuohua
        7
    buyaoshuohua  
    OP
       2016-01-03 22:15:35 +08:00 via iPhone
    @des 没事 喷就喷吧
    XianZaiZhuCe
        8
    XianZaiZhuCe  
       2016-01-03 22:15:52 +08:00 via Android
    你想注入还是想防止注入
    buyaoshuohua
        9
    buyaoshuohua  
    OP
       2016-01-03 22:16:39 +08:00 via iPhone
    @XianZaiZhuCe 想注入
    XianZaiZhuCe
        10
    XianZaiZhuCe  
       2016-01-03 22:18:24 +08:00 via Android   ❤️ 1
    @buyaoshuohua 别逗了。
    另外,这种东西,正常的程序早就过滤了。框架基本都有这功能。
    jugelizi
        11
    jugelizi  
       2016-01-03 22:19:55 +08:00   ❤️ 1
    这个还是用工具吧
    基础过滤大部分现在已经做了
    绕过得花心思
    除非老的系统没升级
    buyaoshuohua
        12
    buyaoshuohua  
    OP
       2016-01-03 22:20:49 +08:00 via iPhone
    @XianZaiZhuCe 我现在就是想知道 在这种环境下 是否还能继续 用 sqlmap 是能跑出来的
    buyaoshuohua
        13
    buyaoshuohua  
    OP
       2016-01-03 22:22:11 +08:00 via iPhone
    @jugelizi 大学网站更新应该没更新
    Luzifer
        14
    Luzifer  
       2016-01-03 22:33:53 +08:00
    @buyaoshuohua

    AWVS 只选 Blind SQL Injection 扫一遍, 有报 SQL 注入漏洞就能用 sqlmap 跑出来,不是百分百,但误报还算少
    maskerTUI
        15
    maskerTUI  
       2016-01-03 22:50:48 +08:00
    @buyaoshuohua 试一下编码变换,测一下是黑名单还是白名单机制, access 也是个大坑,只能靠猜表,现在都很少网站用这个做数据库了。
    ihciah
        16
    ihciah  
       2016-01-04 12:04:59 +08:00
    anandd 、%0a 、 SeLeCt 等
    这些技巧网上都是有的吧
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3272 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 570ms · UTC 12:09 · PVG 20:09 · LAX 04:09 · JFK 07:09
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.