sqlserver简单注入联合注入报错注入

数据运维 2023-08-12 向阳逐梦 手机阅读

sqlserver 经常与 asp aspx一起使用

操作系统大多是 win2012 win2018

数据库版本 sql2008 sql2012

sqlserver 三个权限级别

  • sa权限:数据库操作,文件管理,命令执行,注册表读取等,高权限

  • db权限:文件管理,数据库操作等

  • public权限:数据库操作等

注释符

--空格   单行注释

/**/ 多行注释

判断注入

' 单引号 是否报错

and 1=1   and 1=2   页面是否相同

判断列数

order by

联合注入

sqlserver对数据类型比较严谨

union select 1,2,3

表明,数据类型不全是int型,逐步调试

一般来说列都是id,对应的就是int型union select 1,'2',3union select 1,'2','3'