使用UNION 运算符查询可以直接获取任意DBMS数据表内的列值,在幻影旅团的《直接获取access、SQL Server等数据库数据》一文有详细的阐述,特别对于ACCESS,使用*,加上对(欲知数据)表的自联接,更是挣脱了猜测列名的梦魇。
继续阅读

说到SQL注入机,从娃娃针对动网文章的dvTxt.pl到臭要饭的绝世猜解CSC、NB联盟的NBSI,大家也都用过吧?
开天始祖dvTxt.pl,也不知被改了多少遍,以用于针对各种不同的有SQL注入漏洞的系统,通常《黑防》的一篇《**存在SQL注入漏洞》的文章,末了,都要把这尊大佛抬出来,更改几个字段,然后,又一个**专杀工具出土了!继续阅读