1月28,嘗試sql injection

這幾天可真夠無聊的,今天看到一個電影網站,要註冊,一試可以注入,,,就打算試試吧,是這種id=1 And select...
這種的,,用 id=1 And (select count(*) from 表名)>0 猜表名,,猜不出來,是Access的數據庫,用%5c代替Asp文件前的/來暴庫,也暴不出來,,查不出用的什麼Asp程序,用的軟件AuthentiX來密碼保護文件,./的漏洞也被補上了,,掃描了一把也沒什麼端口開着  自己就這點水平,沒輒了,,,
在暴庫的時候去了一中的網站,都是靜態網頁,校長信箱是個Asp論壇,NWBBS 1.0 自己卻沒在google上找到論壇的程序,,有注入漏洞,Access數據庫,暴庫出來的是conn.Asp,,不會用,,
And (select count(*) from Admin)>0猜出表名Admin,
And (select count(Admin) from Admin)>0
And (select count(pAssword) from Admin)>0猜出 字段Admin pAssword
都是很好猜的那種
And (select top 1 len(Admin) from Admin)>數字  猜長度
And (select top 1 asc(min(Admin,N,1) from Admin)>數字 挨個猜字符

猜出管理員的用戶名密碼後,進去管理頁面一看，似乎沒法往上傳東西
再找,找到了IMAil郵件服務器8.2有漏洞,機子上沒編譯器,拉倒了,,,,自己還沒有什麼入侵的經歷,,還是大哥說的對,,,得學真東西,,看書去 
不過sql injection的漏洞真的多,也很時髦,,其實也是自己必須要會的,,,說實話要想弄的很懂自己的下決心花大時間,,可自己的興趣不在應用上,而且很多現在弄注入的,也都是通過現象來做事,,
想自己還什麼都不會,連個調試都還費勁,自己寫不出exploit,,,
不過在自己的學習過程中穿插些這些東西一可以積累,,另外看似浪費時間,實際可以調起學習的興趣來,,今天不就在電腦前坐了一天嘛,,