SQL注入学习笔记(四)–除MYSQL数据库(如mongoDB,oracle等)的注入

1
2
除了Access外,其他数据库类型结构均与MYSQL结构相差不大,只是相关注入语句不同。
可以用一些工具判断数据库的类型,如SQLmap,kali等。

ACCESS注入

1、Access数据库结构(单库,不存在跨库)
表名
列名
数据
2、access 数据库都是存放在网站目录下,后缀格式为 mdb,asp,asa,可以通过一些暴库手段、目录猜解等直接下载数据库
Access扁移注入:
解决列名获取不到的情况
查看登陆框源代码的表单值或观察URL特征等也可以针对表或列获取不到的情况

access三大攻击手法

1.access注入攻击片段-联合查询法
2.access注入攻击片段-逐字猜解法
3.工具类的使用注入(推荐)

Access注入攻击方式

union 注入、http header 注入、偏移注入等
Access数据库注入演示:31:00

mssql注入

mssql特有的系统表:sysobjects
mssal(SQLserver)数据库注入演示:41:00

postgresql注入

各种注入工具(如sqlmap)的使用

Oracle注入

Oracle数据库注入演示:1:23:00

mongoDB注入

1、mongoDB是非关系型数据库。
2、与其他数据库查询语法不同,要上网查资料。
3、且SQLmap识别不了(SQLmap支持关系型数据库),得换其他工具(如nosqlattack)。
nosqlattack下载:
mongoDB数据库注入演示:1:29:00