声明:本内容并非本人原创,只是做成系列教程而已
说明:
依照惯例,开始我们先介绍概念的东西。本篇教程要讲的就是延续上一节课我们的内容。上节课我们只说到了如何来批量寻找注入点,但是却没有说该如何来利用的问题。当然这节课就是一篇利用,后面还有一篇。这节课说access数据库的内容,下节课讲mssql数据库的内容。当然,学习是越来越深入的,所以会难免出现很多的问题。小菜朋友们遇到了,可千万不能气馁。要知道,灵活运用搜索引擎寻找问题答案是我们不可或缺的一门技术。如果在跟帖中出现了很多的问题的话,我当然会增加一篇名为《学习的方法》的文章的。希望大家能够给予大力支持,没有你们的支持就没有我的动力了。呵呵!!
基础:
本篇教程内只介绍几个重要的概念(只给大家提供理解后的东西,方便小菜阅读,当然也是为了让大家能够自己动手去寻找答案,不然到最后,你就成了死脑筋了,这样的责任,我可是负不起的。^-^。
数据库:
数据(data),当然不用我过多解释什么,你应该已经知道。我们的论坛里的注册人员,时间,个人资料,帖子等等都是数据内容。而将众多数据集合到一起呢,就形成了一大堆的数据,为了方便管理,所以我们将其分门别类的进行存储,而这组合到一起来的众多数据内容,就形成了一个数据库。数据库的类型有很多种,就我们常见的,如access,mssql,mysql等等。而这几类也是网站中运用比较多的类型,尤其是access,存储小型数据内容,基本都是使用的它。当然,它的缺点也就是数据存储量少,查询时间长(当有大量数据存在的时候,这个差别就明显了)。而mssql,mysql等优点就是access数据库的缺点,但是一般他们都更适合存储大量数据内容。一般access数据库和asp程序组合,而mssql也基本和asp程序组合。当然,mysql+php也就是常见的组合方式。问题来了,黑客X档案的数据库一般来说应该是什么类型?
表、列
这是一个集合,一组相同或有共同特征的一组数据的集合。举例说明,表里面一般存放一类,如表里面,user(用户资料),manageuser(管理员资料),book(具体的一类相同事物的数据集合)等(名字当然不止这些)。如列里面:username(用户名称),password(用户密码),id(用户ID值)等等。表呢,是列的集合,众多的列组合到一起就成了表了。当然,列的内容就是具体的数据内容了。下面给大家看一个图来理解(图1)。(重点是理解,具体的概念,请参看搜索引擎搜索结果,自己去动动手吧,看完了理解的内容,再去看概念,应该会简单很多了。)
1.GIF
图1 图解
好了,上面的东西理解到了就可以了,给出的图看上去比较凌乱,但是如果读懂了上面的内容,就不难懂那幅图了。具体的概念,请参看搜索引擎的搜索结果。今天的基础内容就这么点,但是重在理解。脚本黑客中级教程中会详细介绍其概念,这里只需要理解我说的基本就OK了。
内容:
大家可能问我,为什么上面都是讲access,请看本节课的标题《工具注入access数据库》,当然,我们今天的内容就只讨论access数据库的情况,所以,如果你上节课挖掘出的注入点不是access数据库的话,那就稍微放一放,我们暂时先从access数据库谈起。什么,你不知道那是什么数据库?那就接着看吧。
上节课我们最后的时候讲到,在啊D中检测到存在注入点会在下面以红色字体显示出来,而选择其中一个,点击右键会弹出“注入检测”和“复制链接”的选项。如图2:
2.gif
图2 注入点选项
你有没有点击“注入检测”试试呢?如果没有,那你现在可以放心的点击了。此时,已经自动切换搅恕白⑷爰觳狻闭庖还δ芤趁嫒チ恕P〔丝吹猛吩危还辜堑蒙厦娼降幕∧谌萋穑渴菽谌荨槌伞小槌伞怼槌伞菘狻U庋亩髯芸吹枚桑孔⑷氲牟街瑁腋蠹蚁冉步庖幌隆?lt;BR> 首先,我们当然就是判断是否能够进行注入;其次,就是判断数据库类型;然后,猜解表名(仅仅对access数据库而言);接着,我们猜解列名;最后就是猜解内容。
而我们如果使用注入工具,这第一步和第二步是同时进行的,也就是工具在判断了是否能够注入以后也一起判断了是什么样的数据库类型。所以,步骤就如下图所示:图3。
3.GIF
图3 注入步骤演示
其实,如果你已经弄懂了上面这幅图的步骤内容,今天的内容就基本已经OK了。今天的重点是上面的基础部分对数据库,表,列的理解,而不是步骤,因为步骤用一幅图就已经讲解得很清楚了。下面我还是给大家演示一下过程,以方便小菜阅读(在本机上演示)。
过程演示:
上面已经将步骤解释得差不多了,我这里就不多啰嗦,直接给截图了,图上有相应的标注(如果没看明白的,可以参看视频教程。
步骤图解:
1 2 3 4 下一页
·上一篇: 新or 1=1和or 1=2注入教程
·下一篇: 脚本黑客基础教程(二):利用搜索引擎批量寻找注入点(图)
|
