数据库类型的判断

在确定一个地址是注入点后,首先要判断这个注入点所连接的数据言库的类型。

1、在注入点后直接加上单引号,有的时候可以根据服务器报错的信息来判断它用的是什么数据库,通过这个错误信息我们可以看出来这个注入点所连接的数据库类型,当报错信息为MICROSOFT JET DATABASE ENGINE 错误80040e14,说明是通过JET引擎连接数据库,那么这个注入点所连接数据库类型为ACCESS数据库。如果是ODBC的话说明数据库是MSSQL数据库。

2、在注入后加上 ;--(一个分号,两个横线)例如:http://******id=12;--提交如果这个页面返回正常的话,说明是数据库MSSQL,因为在MSSQL中;和--都存在的。而ACCESS数据库里没有的,如果报错的话那就说明是ACCESS数据库。

3、利用and exists (select count(*) from sysobjects)和and exists (select count(*) from msysobjects)来判断,如果每一条返回正常,那就是MSSQL数据库,如果两条都不正常,那就是ACCESS数据库。

 

当asp环境下注入提示“cint”错误时

Microsoft VBScript 运行时错误 错误 '800a0006'

 

溢出: 'CINT'

 

*.asp,行*

 

这是属于cint溢出,是CINT不支持太大的数字,有一个数值范围

cint 范围: -32768 到 32767;

clng 范围: -2,147,483,648 到 2,147,483,647。

 

Power by YOZOSOFT