[Question] Cho em hõi tí về SQL Injection ! |
16/07/2008 11:48:05 (+0700) | #1 | 141803 |
flier_vn
Member
|
0 |
|
|
Joined: 15/07/2008 01:13:39
Messages: 28
Offline
|
|
Hỏi :
Hôm nọ em có gặp 1 trường hợp 1 site bị sql injection sử dụng MS Access !
1. Ngoài cách ngồi đoán table thì còn cách nào nữa ko ? Có thể dùng Blind ko ?
2. Khi đã biết được vaid table, muốn select giá trị trong column ra thì có buộc phải dùng cách đếm số column ( vd như : union select null,vaidcolumn,null,...n from vaidtab where column=n%00 ) hay có thể select trực tiếp ra như MS SQL ( union select column from table where column=n%00 ) ? Cả 2 cái này em đều test ko được Ai cho em thử 1 ví dụ được ko ạ ?
Àh ! hôm nọ thử dùng xp_dirtree để list dir ra ( site sử dụng MSSQL, em thử insert xp_dirtree vào 1 tab sau đó select ra ) nhưng ko thành công trong khi user là SA !
Hỏi :
1. Chỉ có SA hoặc user nào có quyền tương tự mới mới có thể dùng xp_dirtree àh ?
Mong mọi người help để em bik thêm tí nữa :d Thx |
|
MerChant.Vn - Website học hỏi, trao đổi thảo luận về kinh doanh.
DànhChoBé.VN - Chuyên bán đồ chơi chất lượng, thương hiệu Fisher price, Disney, Thomas & Friends |
|
|
|
|
|
|
Users currently in here |
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|