会手动注入的指点下~

昨天有人发了 手工注入 ，看了觉得有必要学下

今天早上在网上看了些文章，那个是..对于我来说，很是 费解

费解就费解吧，总得实践实践啊~不实践哪来进步，是吧

于是啊，点了好多网址， 用 '   1=1 1=2 （其实这些语句我也不明白啥意思，大家懂的指名下，别骂我笨就可以了....）

总算没白费我的努力，找了个http://www.okgogogo.com/download/view.asp?id=681      

于是我按网上的，用
and (select count(*) from sysobjects)>0
and (select count(*) from msysobjects)>0   判断出是 access数据库

我心里高心啊，看来网上说的没错啊 可当我用And (Select Count(*) from Admin)>=0 来判断是否有Admin表名的时候，出现：

Microsoft JET Database Engine 错误 '80040e37'

Microsoft Jet 数据库引擎找不到输入表或查询 'admin'。 确定它是否存在，以及它的名称的拼写是否正确。

/download/view.asp，行 49


由于网上也没说遇到这个，我也百度了 下 表名 ，但我不知道还有什么 表名。


其实我对 表名 和 字段，认识不太清楚，有人指点下 他们的 关系啊

http://www.okgogogo.com/download/view.asp?id=681     这个是我找到的地址，谁能用它做个教程，做好详细点

谢谢了

1=1 ，1=2可以说是一个判断前面1=1是正确的加上你的注入点本来也存在所以返回正常页面
而1=2是错误的，从而返回错误的页面
而表和字段有哪些你可以看看啊D和明小子里面有很多表和字段。自己看看
其实我才学手工注入，有误之处，高手揪出来批评

建议lz看我才发的那个教程，其实判断数据库还有lz提到的那些是作用不大的，我们入侵的目的是直接爆出管理员的帐户和密码，其他的是徒劳

2楼的是php暴出用户和密码
而asp的用户和密码不是那么容易暴的

不是那么的好弄

表明和字段名在台湾分站已经有帖子公布了，在此不再多说，关于这些你也可以下载一些注入工具看下他们都包涵了那些。有些管理员为了提高网站的安全性能已经修改了这些默认的表名和字段名。

这个地址可以注入,是注入点,你可在论坛下载明小子和啊D工具,猜解密码,直接进入后台,这个是你学习的机会,快去试试吧,
  
          

我怎么就没手工注入userinfo呢/哎!失败!   
哦,对了,有谁知道 在用工具只暴出ID和密码而没有用户时怎么弄,难道猜?

可以用and user>0来判断数据库：若返回“Microsoft JET Database”则为ACCESS数据库，返回若含有SQL Server关键字则为MSSQL（即SQL Server）数据库。
另外，“表”是说的数据库里的一个表，而“字段”则是表里的的一个项（你暂时可以这么理解），最后的内容（也就是管理员帐号密码）是数据库里当前表内当前字段的内容。
若你想学数据库的知识，可以看看关于SQL数据库的书，若你只是想学脚本，我推荐一本黑手的《精通脚本黑客》，那上面有手工注入这方面的解释，很不错的

哦，对了，那个and 1=1 和and 1=2是SQL语言，是一种逻辑运算，你不懂也无所谓，知道怎么用就行了