很多人也許並不了解,在sql server中包含了幾個可以訪問系統登錄檔的擴充套件儲存過程。但實際上這幾個擴充套件儲存過程都是未公開的,從sql server 7.0就有了,在sql server 2000中仍然保留,他們以後可能會刪除.但是這幾個儲存過程卻提供了在當前的sql server版本中訪問系統登錄檔的能力,
而且很多人利用sql server來進行攻擊系統時,往往都會用到這幾個擴充套件儲存過程.所以最好在sql server中禁用他們。
假如http://127.0.0.1/view.asp?id=165存在sql server的sql注入,我們可以用xp_regwrite寫入登錄檔。
使用方法:
xp_regwrite 根鍵,子鍵, 值名, 值型別, 值
注釋:值型別有兩種reg_sz 表示字元型,reg_dword 表示整型(用xp_regdeletevalue刪除某個值)。
使用方法:
xp_regdeletevalue 根鍵,子鍵,值名
xp_regdeletekey 刪除鍵,包括該鍵下所有值
使用方法:
SQL Server中未公布的擴充套件儲存過程注入
sql server中未公布的擴充套件儲存過程注入 很多人也許並不了解,在sql server中包含了幾個可以訪問系統登錄檔的擴充套件儲存過程。但實際上這幾個擴充套件儲存過程都是未公開的,從sql server 7.0就有了,在sql server 2000中仍然保留,他們以後可能會刪除.但是這幾個...
請教 VS2015未安裝發布所需的WEB擴充套件
iis裝了,為什麼會有這個問題。web deploy 安裝沒有?iis裝了,為什麼會有這個問題。官網上只有vs2012的 沒看到2015的 安裝了 還不行,有什麼需要個別安裝的嗎 以前用的2010倒是一裝了web deploy外掛程式。現在2015的找不到啊。你是在vs上publish的時候拋的這個...
未安裝SqlServer,開啟 mdf檔案的方法
問題提出 本機未安裝sqlserver資料庫軟體,現有addressdb.mdf addressdb log.ldf檔案。欲檢視addressdb.mdf中資料,如何實現?解決辦法 可以使用visual studio進行連線資料庫實現 vs 2013選單欄,工具 連線到資料庫 更改 資料來源為 mi...