access注入原理
來源:魅力女性吧 2.84W
Access資料庫注入原理:
(一)判斷資料庫型別
1、前提條件
SQL server中存在內建的變數/系統表(資料庫伺服器基本上都會有)
2、通過內建變數判斷資料庫型別
(二)猜解資料庫名
使用existi函式通過語句判斷資料中是否存在某個資料庫表名,如果返回頁面出錯,則該表名不存在,可以更換其他表名進行猜解,我們可以使用burp的爆破模組提升爆破的效率。也可以使用sqlmap工具直接對該注入點進行注入。
(三)猜解欄位名及長度
在才猜解到資料表名之後,就可以猜解欄位名了,可以沿用上面猜解資料庫表名的方式。猜解到欄位名之後,就可以通過len函式判斷欄位的長度。
