邪恶八进制信息安全团队技术讨论组 » 技术讨论{ Technique Discussions } » [讨论]关于SQL注入的问题请大家帮忙分析下

‹‹ 上一主题 | 下一主题 ››

发新话题

打印

[讨论]关于SQL注入的问题请大家帮忙分析下

crack

晶莹剔透§烈日灼然

Rank: 1

帖子: 111
精华: 0
积分: 339
阅读权限: 40
性别: 男
来自: 山东博兴实中
在线时间: 294 小时
注册时间: 2005-4-17
最后登录: 2006-2-24

发短消息
加为好友
当前离线

楼主大中小发表于 2005-10-11 19:00 只看该作者

[讨论]关于SQL注入的问题请大家帮忙分析下

议题提交：crack
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

前几天我无聊找了个网站玩玩!!发现有注入,就进去看了看,用的是PUBLIC权限连接的!
这个库里有的表名和字段还有内容全能爆出来可是有的表名和字段能爆出,可就是内容不能爆出说什么
拒绝了对对象 'ChargeRecord'（数据库 'accountDB'，所有者 'dbo'）的 SELECT 权限这是为什么?
难道同库里每个表的权限可以设为不同?
我仔细看了看臭要饭的在黑防2004年1月刊发表的《MSSQL跨库查询你想怎么玩?》，而且还在网上找了其他N长时间没解决。

另外可写的表里所有字段都设了不能超过20个字符,我有什么办法能进一步提权?

对了,那网管把xp_regread给删了,本来想通过注册表看看他装了哪些soft没搞头了。

我的ID是:3721

TOP

inetshare

晶莹剔透§烈日灼然

Rank: 1

帖子: 17
精华: 0
积分: 88
阅读权限: 40
在线时间: 1 小时
注册时间: 2005-9-13
最后登录: 2006-6-25

发短消息
加为好友
当前离线

沙发大中小发表于 2005-10-20 11:51 只看该作者

这样的权限，你没有机会了。

TOP

花之骄子

晶莹剔透§烈日灼然

Rank: 1

帖子: 5
精华: 0
积分: 19
阅读权限: 40
性别: 男
在线时间: 3 小时
注册时间: 2005-4-9
最后登录: 2007-4-14

发短消息
加为好友
当前离线

椅子大中小发表于 2005-10-26 15:29 只看该作者

那么我也问一个........

注入一个网站后,是DB权限,可是一列目录,发现WEB里面的虚拟站太多了,而对方却又没有绑定域名...像这样的站应该如何找出相应的站点域名呢???

TOP

gg111

晶莹剔透§烈日灼然

Rank: 1

帖子: 1
精华: 0
积分: 6
阅读权限: 40
在线时间: 4 小时
注册时间: 2005-12-1
最后登录: 2005-12-3

发短消息
加为好友
当前离线

板凳大中小发表于 2005-12-1 23:19 只看该作者

我也有类似问题：
在暴表暴列都顺利，可暴列的值时却提示“帐户错”，没有错误提示。（注入点是一个填用户名的框，我的QQ:10650023,欢迎大家来讨论关于SQL的问题）

TOP

‹‹ 上一主题 | 下一主题 ››

发新话题

邪恶八进制信息安全团队技术讨论组 » 技术讨论{ Technique Discussions } » [讨论]关于SQL注入的问题请大家帮忙分析下