dba安全测试必备:SQL SERVER数据库手工延时盲注语句

dba安全测试必备:SQL SERVER数据库手工延时盲注语句

3个月前 (09-13) 中国互联科技有限公司

假设存在一个PHP+SQL SERVER的环境,存在POST注入,只能进行延时盲注,存在防火墙,Sqlmap能够绕过,但不能注入,手工注入语句如下: 0x1:判断是否存在注入: 0x2:判断权限: 0x3:查询当前数据库的长度和名字 0x4:查询数据库的版本 0x5:查询表个数 0x6查询第一个表的长度 0x7查询第一个表的表名 0x8查询第二个表的长度 0x9查询第二个表的名字 0x10查询TB

SQL与MySQL:有什么区别?

SQL与MySQL:有什么区别?

5个月前 (07-15) 铁匠

什么是SQL? SQL是一种用于操作数据库的语言。SQL是用于所有数据库的基本语言。不同数据库之间存在较小的语法更改,但基本的SQL语法基本保持不变。SQL是S tructured Q uery Language 的简短缩写。根据ANSI(美国国家标准协会),SQL是操作关系数据库管理系统的标准语言。 SQL用于访问,更新和操作数据库中的数据。它的设计允许管理RDBMS中的数据,例如MYSQL。S

不得不看,只有专家才知道的17个SQL查询提速秘诀!

不得不看,只有专家才知道的17个SQL查询提速秘诀!

11个月前 (02-01) 铁匠运维网•小编

除非你遵循本文介绍的这些技巧,否则很容易编写出减慢查询速度或锁死数据库的数据库代码。 由于数据库领域仍相对不成熟,每个平台上的 SQL 开发人员都在苦苦挣扎,一次又一次犯同样的错误。 当然,数据库厂商在取得一些进展,并继续在竭力处理较重大的问题。 无论 SQL 开发人员在 SQL Server、Oracle、DB2、Sybase、MySQL,还是在其他任何关系数据库平台上编写代码,并发性、资源管理

SQL注入速查表(下)与Oracle注入速查表

SQL注入速查表(下)与Oracle注入速查表

2年前 (2016-11-13) 铁匠

一、SQL注入速查表(下) 0x00 目录 盲注 关于盲注 实战中的盲注实例 延时盲注 WAITFOR DELAY [time](S) 实例 BENCHMARK()(M) 实例 pg_sleep(seconds)(P) 掩盖痕迹 -sp_password log bypass(S) 注入测试 一些其他的MySQL笔记 MySQL中好用的函数 SQL注入的高级使用 强制SQL Server来得到NT

SQL注入速查表(上)

SQL注入速查表(上)

2年前 (2016-11-13) 铁匠

0x00 关于SQL注入速查表 现在仅支持MySQL、Microsoft SQL Server,以及一部分ORACLE和PostgreSQL。大部分样例都不能保证每一个场景都适用。现实场景由于各种插入语、不同的代码环境以及各种不常见甚至奇特的SQL语句,而经常发生变化。 样例仅用于读者理解对于“可能出现的攻击(a potential attack)”的基础概念,并且几乎每一个部分都有一段简洁的概要

解密MSSQL链接数据库的密码

解密MSSQL链接数据库的密码

2年前 (2016-11-13) 铁匠

0x00 背景 from:https://www.netspi.com/blog/entryid/221/decrypting-mssql-database-link-server-passwords 建议在看之前先了解下什么是linked server。比如参考微软的相关学习资料: http://technet.microsoft.com/zh-cn/library/ms188279.aspx

SQL SERVER 2008安全配置

SQL SERVER 2008安全配置

2年前 (2016-11-09) 铁匠

0x00 sql server 2008 权限介绍 在访问sql server 2008的过程中,大致验证流程如下图: 当登录操作一个数据库的时候,会经过三次验证: 1. 操作系统的验证 2. SQL SERVER登录名的验证 3. 数据库用户名的验证 当使用windows身份认证模式的时候,使用的windows账号会通过操作系统的验证,然后以sysadmin的服务器角色通过SQL SERVER

SQL Server超时诊断和调优

SQL Server超时诊断和调优

2年前 (2016-11-08) 铁匠

一、 超时分析 下面是用户访问一个Web站点的常见错误: 详细错误描述如下: [SqlException (0x80131904): Timeout expired. The timeout period elapsed prior to completion of the operation or the server is not responding.] System.Data.SqlCli

MSSQL连接数据库密码获取工具与原文数个错误纠正

MSSQL连接数据库密码获取工具与原文数个错误纠正

2年前 (2016-10-24) 铁匠

0x00 原文提供的powershell脚本出错的解决方案 原文提供的脚本直接导入执行会抛出“数据无效”的错误,测试系统在查询分析器中获取到的密文为: [ 0x01, 0x00, 0x00, 0x00, 0xD0, 0x8C, 0x9D, 0xDF, 0x01, 0x15, 0xD1, 0x11, 0x8C, 0x7A, 0x00, 0xC0, 0x4F, 0xC2, 0x97, 0xEB, 0x

SQL SERVER 2008安全配置

SQL SERVER 2008安全配置

2年前 (2016-10-12) 铁匠

0x00 sql server 2008 权限介绍 在访问sql server 2008的过程中,大致验证流程如下图: 当登录操作一个数据库的时候,会经过三次验证: 1. 操作系统的验证 2. SQL SERVER登录名的验证 3. 数据库用户名的验证 当使用windows身份认证模式的时候,使用的windows账号会通过操作系统的验证,然后以sysadmin的服务器角色通过SQL SERVER

如何查询SQL2005及补丁的版本号

如何查询SQL2005及补丁的版本号

2年前 (2016-07-05) 铁匠

查询sql server 2005数据库版本信息和补丁信息的最快有两种方式: 1、打开sql server 2005数据库控制台。进入控制台之后,点击sql server 2005的“帮助”—“关于”,然后系统会自动弹出一个页面出来显示sql server 2005的所有信息。如果打过SP2或者是SP3、SP4页面中都会显示出来,如果没有,那么不会显示该信息。但不影响显示其他信息。 2、打开sql

Windows Server 2003升级Win Ser 2008R2之2003强制降级

Windows Server 2003升级Win Ser 2008R2之2003强制降级

3年前 (2015-08-12) 铁匠

1、在主域控制器上运行ntdsutil  : (如果在2003上没有此命令,需要手动安装2003系统盘中\SUPPORT\TOOLS\SUPTOOLS.MSI程序包) 2、输入:Metadata cleanup  清理不使用的服务器的对象: 所有命令都可以通过 "? "问出来,根据注解提示操作: 3、输入connections 选择连接域控制器目标: 4、输入  co

SQLSERVER等待事件统计信息:sys.dm_os_wait_stats

SQLSERVER等待事件统计信息:sys.dm_os_wait_stats

4年前 (2015-03-31) 铁匠

返回执行的线程所遇到的等待数的有关信息。可以使用该聚合视图来诊断 SQL Server 以及特定查询和批处理的性能问题。 列名 数据类型 说明 wait_type nvarchar(60) 等待类型的名称。 waiting_tasks_count bigint 该等待类型的等待数。该计数器在每开始一个等待时便会增加。 wait_time_ms bigint 该等待类型的总等待时间(毫秒)。此时间包

sql server中PAGELATCH_x和PAGEIOLATCH_x解析

sql server中PAGELATCH_x和PAGEIOLATCH_x解析

4年前 (2015-03-31) 铁匠

1.PAGELATCH_x和PAGEIOLATCH_x介绍  在分析SQL server 性能的时候你可能经常看到 PAGELATCH和PAGEIOLATCH。比方说执行如下TSQL语句 <span style="line-height:1.8;color:#0000FF;">Select</span> <span s

Sql Server 2005/2008 SqlCacheDependency查询通知的使用总结

Sql Server 2005/2008 SqlCacheDependency查询通知的使用总结

4年前 (2014-12-10)

      Sql server 7.0/2000下 SqlCacheDependency使用轮询的方式进行缓存失效检查, 虽然ms说对服务器压力不大, 但还是有一些的, 而且对于不常改动的混存内容无休止的轮询感觉有点浪费, 不很经济.       Sql server 2005/2008下增加使用查询通知方式进行缓存失效检查,

merge into和xml.modify 实例演示

merge into和xml.modify 实例演示

4年前 (2014-12-08)

merge into和xml.modify 实例演示 CREATE TABLE [dbo].[t_statsXML]( [f_id] [int] IDENTITY(1,1) NOT NULL, [f_gType] [tinyint] NULL, [f_kType] [tinyint] NULL, [f_bType] [int] NULL, [f_agAmt] NULL, [f_cpAmt] [de

切换注册

登录

忘记密码 ?

您也可以使用第三方帐号快捷登录

切换登录

注册

扫一扫二维码分享