ps:虽然我没说明版权,但是转载也要说明下啊,至少给我点面子行不? www.2cto.com编外:我们希望作者给个总的题目。。。免得读者看起来不系统 作者:幻泉 2.2.3 数据库 类型的 判断 与各种 数据库 特征 在注入入侵前需要先 判断 数据库 类型,因为各种 数据
ps:虽然我没说明版权,但是转载也要说明下啊,至少给我点面子行不?
www.2cto.com编外:我们希望作者给个总的题目。。。免得读者看起来不系统
作者:幻泉
2.2.3 数据库类型的判断与各种数据库特征
在注入入侵前需要先判断数据库类型,因为各种数据库的SQL注入都各有不同,所以判断数据库类型有利于我们针对特定数据库进行入侵检测。
2.2.3.1 对Access数据库的判断与其特征
通过错误页面判断:
这是上面讲过的图片,其中Microsoft JET Database Engine 错误 80040e14说明他是用JET数据库引擎连接的数据库,而JET是Microsoft Access和Visual Basic使用的一种数据库引擎,所以可以肯定这个页面连接的数据库是微软的Access数据库。
通过查询判断:
加入容错处理的程序不会显示错误信息。所以无法从网页中判断是什么数据库。但是Access存在几个默认系统表我们可以通过查询其默认数据表,来与其他数据库区分。(因为Access数据库的系统表大部分都是唯一的)
正常情况下access是不允许查看系统表的,所以我们需要进行设置来让数据库显示系统表。打开数据库点击工具栏中的工具-选项,勾选“系统对象”选项点确定就会看到系统表了。
Access总共有6个系统表,如下表格:
系统表名 |
系统列名 |
MSysAccessObjects |
ID |
Data |
|
MSysAccessXML |
Id |
LValue |
|
ObjectGuid |
|
ObjectName |
|
|