① 以sql為後綴的文件如何使用,如何打開
.sql的文件都是資料庫的文件,一般是對資料庫操作的sql語言文件,可能是一些selece 句子等。對這些文件的打開,一是用edit plus打開,沒有的話可以去下一個。二是用sql plus打開。
② 我有一個*.sql文件,應該怎樣使用
你建一個SQLSERVER,然後建一個庫,或者ISQL。EXE,或者打開查詢分析期,直接打開這個。SQL文件,運行即可
出現這個問題,你先把該DATABASE的屬性設置為OFFLINE,即可
③ sql 資料庫文件怎麼使用
方法/步驟
1、找到要打開的資料庫文件,如圖
2、如圖所示,該資料庫文件後綴名為.mdf,是SQL Server資料庫的數據文件,這里將用SQL Server資料庫對該文件進行打開。啟動SQL Server資料庫,如圖
3、圖為啟動SQL Server Management Studio時的界面,登錄後可以管理資料庫數據。開啟之後的界面如圖
4、提示用戶輸入用戶名和登錄密碼,輸入正確後,點擊登錄,進入管理界面,如圖
5、進入管理界面後,右鍵選擇資料庫,再選擇【附加】功能,如圖
6、點擊【附加】後,出現窗口,如圖
7、在【附加資料庫】窗口中,點擊【添加】按鈕,提示選擇要附加的資料庫,如圖
8、選種要添加的資料庫,點擊確定,在管理界面中會出現添加的資料庫,如圖
9、打開資料庫,就可以看到資料庫中的表,表中的數據都可以看到。如圖
注意事項
按以上步驟來,就可以打開資料庫文件。
不要直接點右鍵進行打開,可能會對文件告成損壞。
④ 如何利用SQL注入製造一個後門
在資料庫中有一些叫做「觸發器」的東西,基本的意思就是——「當某些我們希望發生的事情發生時,觸動觸發器去做另外一些事情」。這描述的確實太模糊了,然我們舉一個更明顯的例子。假如你是一個警察,某一時刻你看到一個連環殺手,你扣動扳機並且發射出一枚子彈對么?那麼把他轉換為我們之前的場景——有一個INSERT語句(殺手),一個Database trigger(槍手)開火了,那麼動作(action)就是釋放你之前已經配置(configured)好的子彈(bullet)。
下面使我們要寫的一個MySQL觸發器的例子:
delimiter #
CREATE TRIGGER price BEFORE INSERT ON books
for each row begin
set new.price=』0′;
end;#
delimiter ;
b)無論任何時候如果我們執行一個Insert語句,比如假如一本書,那麼我們設置其價格為0.下面是它的意思:
a)設置默認的MySQL分隔符為』#',因為默認的分隔符是』;'在MySQL作為特殊字元處理了,而我們需要將其作為數據處理。所以我們改變分隔符為』#',表示』#'現在有一個特殊的含義。
c)終止觸發器並將分隔符重置為』;'。
然我們使用Sql Injection將觸發器復制到伺服器上。下面是要作為搜索框輸入的語句:
Harry Potter』 AND 1=0 union select 0×20,0×20,0×20 INTO OUTFILE 『/var/www/test/g2′ LINES TERMINATED BY 6d69746572203b#
我會快速解釋一下這個查詢語句—因為即使看起來它很復雜—其實不然。我們使用1=0因為我們對關於《Harry Potter》的查詢結果並不感興趣。0×20的位置只是查詢了三次空格』space』;這是為了我可以僅僅得到想要重定向到文件』/var/www/test.g2′中的內容。然後LINES TERMINATED BY後面的部分是整個觸發器使用hex函數轉換後的形式(我是用的是Brup Decoder,不要坐在那兒浪費時間去手工轉化它)。
讓我們運行一下看看會在文件/var/www/test/g2中出現什麼。
你注意到了最開始的幾個空格了么?這就是我們之前看到的select 0×20,0×20,0×20的作用。之後的內容就顯而易見了。
現在我們以某種方式執行這個查詢然後我們的觸發器會在每次一本書被插入時激活,這里有三種實現的方法。
a)多語句查詢(Stacked Queries)—Harry Potter』 UNION blah blah blah;source /var/www/test/g2但是這事實上不會成功執行,因為PHP+MySQL不支持多語句查詢。
b)濫用MySQL默認觸發器行為(Abusing MySQL default trigger behavior)—這種方法我還沒有測試過,不過在Stefano Di Paola的文章中被描述的非常清楚。嘗試一下吧,我找時間也會測試一下。
c)使用SQL Injection工具比如SQLMap運行我們存放在/var/www/test/g2中保存的觸發器。這是我們將要測試的方法。
我們來再次運行SQLMap並獲得一個我們可以運行觸發器的SQL shell。
看最後一行。不幸的是,只有當支持多語句查詢時,這種方法才可以執行。這意味著上面的選項a,c意味著同一種情況。讓我們通過代理來查看SQLMap的請求。
讓我們在Sql-shell中執行一個簡單的創建新資料庫的語句—」create database boo;」並在Brup中查看。
⑤ 如何利用SQL注入製造一個後門
0×01,介紹…
0×02,什麼是Sql Injection..
0×03,一個系統後門(OS)Backdoor.
0×04,獲得一個OS Shell
0×05,一個資料庫後門(Database backdoor).
0×07,推薦的防禦措施…
0×08,結論…
0×09,參考…
0×01,介紹
如果你正在讀這篇文章那麼我有理由相信你曾經聽說過一種病毒,或者是它一種特洛伊木馬或者蠕蟲,這類惡意程序可以感染你的計算機系統。一旦你的計算機系統被感染,那麼當你使被感染的計算機連接到互聯網,它很可能會去感染其他的計算機。許多時候,惡意軟體不僅僅只是從一台計算機傳播到另一台,他們會針對每一台感染的計算機進行自身的變異。這些變化將會讓病毒遠程的控制每一台計算機並使它們在之後感染更多的計算機系統。這些病毒第一次執行時會復制一個小型的可執行文件到用戶的磁碟上,這個可執行文件僅僅會監聽在當前計算機系統未使用的埠上從而惡意軟體可以在被感染主機連入互聯網的任意時刻訪問這台主機。這個小的可執行文件叫做後門(Backdoor)。我在這里已經簡要的說明了後門的概念。
0×02,什麼是Sql Injection
已經有超過1百萬的文章講述了什麼是Sql注入並且怎樣去發現和怎樣去避免這類威脅,所以我不想再次重復。如果你需要了解一些關於Sql注入的背景知識,這里有一個介紹性文章的連接可以供你閱讀。這篇文章末尾我也提供了一些參考資料可以讓你針對這篇文章所討論的話題獲得更多的知識信息。
0×03,一個系統後門(OS)Backdoor
這篇文章的目的是利用Sql Injection執行各種各樣的命令最終控制操作系統。為了運行系統命令,我們需要一個CMD shell,或者需要執行一些代碼使得我們可以執行OS命令。讓我們分別嘗試一下這兩種方法。
0×04,獲得一個OS Shell
現在我們將寫我們自己的代碼使之可以讓我們運行任意OS命令來控制操作系統。所以,從之前的文章中我們已經知道搜索部分的變數存在Sql Injection並且在question表中存在4個列名。作為提示,語句Harry Potter』 union select 1,2,3,4#將會出現錯誤:
現在,我們想插入可以執行系統命令的PHP代碼。為了實現這個目的,我們使用MYsql提供的INTO OUTFILE特性。使用Using INTO OUTFILE,可以將查詢的輸出重定向到系統的文件中去。真因為如此,我們可以執行Harry Potter』 union select 『TEXT INTO FILE』,2,3 INTO OUTFILE 『/tmp/blah.txt』#,然後字元串『TEXT INTO FILE』將會被存儲在目錄/tmp下的blah.txt中。如圖:
⑥ sql腳本文件怎麼用
一般要建立能夠發布數據的資料庫網站,需要的因素:RDBMS 資料庫程序(象MS Access, SQL Server, 做網站接觸比較多的就是MySQL);伺服器端腳本語言(比如 PHP 或 ASP,JSP);SQL;HTML / CSS
一、SQL格式是什麼文件
結構化查詢語言(Structured Query Language)簡稱SQL,結構化查詢語言是一種資料庫查詢和程序設計語言,用於存取數據以及查詢、更新和管理關系資料庫系統;同時也是資料庫腳本文件的擴展名。結構化查詢語言是高級的非過程化編程語言,允許用戶在高層數據結構上工作。它不要求用戶指定對數據的存放方法,也不需要用戶了解具體的數據存放方式,所以具有完全不同底層結構的不同資料庫系統可以使用相同的結構化查詢語言語言作為數據輸入與管理的介面。結構化查詢語言語句可以嵌套,這使他具有極大的靈活性和強大的功能。
結構化查詢語言中的五種數據類型:字元型,文本型,數值型,邏輯型和日期型
二、SQL文件怎麼打開
SQL為資料庫腳本文件,因為一般不是做編程的朋友可能電腦中不會裝有sql server這個軟體,非常大。所以大家最好用資料庫的查詢分析器打開,或者你拿記事本也可以打開。滑鼠右擊文件,打開方式選擇記事本就可以了。如果特殊需要可以下載ultraEdit可以編輯文本、十六進制、ASCII 碼,功能挺強大。
也可能是mysql文件,使用方法就是通過自帶的工具導入到資料庫中即可。
⑦ 後綴為sql的文件怎麼用
首先很多軟體可以導入如mysql-front打開資料庫有個輸入sql文件
命令行下
create
database
admin;
use
admin;
source
g:\admin.sql;
你試一下吧
⑧ 如何利用SQL注入製造一個後門
思路最重要。其實好多人都不知道SQL到底能做什麼呢?這里總結一下SQL注入入侵的總體的思路:
1. SQL注入漏洞的判斷,即尋找注入點
2. 判斷後台資料庫類型
3.
確定XP_CMDSHELL可執行情況;若當前連接數據的帳號具有SA許可權,且master.dbo.xp_c窢供促佳詎簧存偽擔鐮mdshell擴展存儲過程(調用此存儲過程可以直接使用操作系統的shell)能夠正確執行,則整個計算機可以通過幾種方法完全控制,也就完成了整個注入過程,否則繼續