第二十一章------關於sql
簡單說明:
SQL是Structured Query Language(結構化查詢語言)的縮寫,它是目前使用最廣泛的資料庫語言,SQL是由IBM發展起來的,後來被許多資料庫軟體公司接受而成為了業內的一個標準。
就像SQL的名字一樣,我們可以通過容易理解的查詢語言,來和資料庫打交道,從資料庫中得到我們想要的資料。對於SQL語言,有兩個組成部分:
DML(data manipulation language):它們是SELECT、UPDATE、INSERT、DELETE,就像它的名字一樣,這4條指令是用來對資料庫裡的資料進行操作的語言。
DDL(data definition language):DDL比DML要多,主要的指令有CREATE、ALTER、DROP等,DDL主要是用在定義或改變表(TABLE)的結構,資料檔案類型,表之間的連接和約束等啟始化工作上,他們大多在建立表時使用。
瞭解這兩個部分的不同對於你今後使用時有很多方便,因為許多SQL語言中的約束也是根據這個分類來劃分的,SQL作為一個ANSI標準,一直在不斷改進。以下的討論都是針對它的。由於具有管理員權限的帳號sa預設密碼為空,且低版本的sql有漏洞能直接獲得密碼。因此它也成為入侵的一種捷徑(如果存在漏洞的話)。用客戶端工具連接後直接當cmd用吧。
相關工具:
mssqltools 攻擊sql的工具集
http://www.cnsq.net/sq88/down/show.asp?id=335&down=1 ;
SQL Brower(SQL資料庫瀏覽工具)
http://arm.533.net/hack/sqlbrower.zip
SQL Cmd(利用SQL Server執行指令)
http://arm.533.net/hack/sqlcmd.zip
SQLEXEC mssql連接工具
http://arm.533.net/hack/sqlexec.zip ;
SQL Ping
http://arm.533.net/hack/sqlping.zip
SQL Remote Cmd(利用SQL Server執行指令,小榕軟體,控制台界面)
http://arm.533.net/hack/sqlrcmd.zip
相關帖子:
去除SA的xp_cmdshell權限
http://www.sixthroom.com/ailan/f ;... 3&RootID=361&ID=361
SQL資料庫的一些攻擊方法
http://www.sixthroom.com/ailan/f ;... 3&RootID=367&ID=367
SQLServer的漏洞和一些突破口
http://www.sixthroom.com/ailan/f ;... 3&RootID=365&ID=365
SQL完全簡明手冊
http://www.sixthroom.com/ailan/f ;... 3&RootID=364&ID=364
SQL Server2000的安全組態
http://www.sixthroom.com/ailan/f ;... 3&RootID=362&ID=362
SQL SERVER 2000通訊管道後復用劫持
http://www.sixthroom.com/ailan/f ;... 3&RootID=369&ID=369
淺談SQL SERVER資料庫密碼的脆弱性
http://www.sixthroom.com/ailan/f ;... 3&RootID=370&ID=370
sql增強的移除與恢復
http://www.sixthroom.com/ailan/f ;... 3&RootID=368&ID=368