发布:wpulog | 发布时间: 2010年3月29日
Access SQL注入参考 |
|||||||||||||
描述 | SQL查询及注释 | ||||||||||||
注释符 |
Access中没有专门的注释符号.因此"/*", "--"和"#"都没法使用.但是可以使用空字符"NULL"(%00)代替:
|
||||||||||||
语法错误信息 | "[Microsoft][Driver ODBC Microsoft Access]" | ||||||||||||
多句执行 | 不支持. | ||||||||||||
联合查询 | Access支持联合查询,UNION后的FROM关键字必须使用一个已经存在的表名. | ||||||||||||
附属查询 |
Access支持附属查询(例如:"TOP 1"用来返回第一行的内容) :
|
||||||||||||
LIMIT支持 |
LIMIT不被支持,但是在查询中可以声明"TOP N"来限制返回内容的行数:
|
||||||||||||
让查询返回0行 |
在脚本在返回的HTML结果中只显示第一个查询的结果的时候非常有用:
|
||||||||||||
字符串连接 |
不支持CONCAT()函数. 可以使用"&"或"+"操作来俩接两个字符串.在使用的时侯必须对这两个操作符进行URLencode编码:
|
||||||||||||
子字符串 |
MID()函数:
|
||||||||||||
字符串长度 |
LEN()函数:
|
||||||||||||
暴WEB路径 |
可以通过对一个不存在的库进行SELECT操作.Access将会回应一条包含有完整路径的错误信息.:
|
||||||||||||
取字符的ASCII值 |
ASC()函数:
|
||||||||||||
ASCII值转换为字符 |
CHR()函数:
|
||||||||||||
IF语句 |
可以使用IIF()函数. 语法 : IIF(condition, true, false) :
|
||||||||||||
时间接口 | 不存在类似BENCHMARK()或SLEEP()的函数,但是可以使用大量(高负载)的查询来达到这个效果.点击这里查看参考. | ||||||||||||
验证文件是否存在 |
在注入的时候使用:
|
||||||||||||
表名猜解 |
这里有一个简单的猜解access表名的java代码.我写他是为了更好的解释猜解表名的原理:
bruteTableName()的参数是一个名为"Request"的对象(见注释0).这个例子靠 sendInjection() (见注释2)尝试检测查询:
table[i]是表名列表中的一个元素(见注释1). 你能在这篇文章的末尾找到一个小的表名列表.在注释2处, sendInjection()函数返回提交注入代码后的回应html代码.如果resp包含 columnErrorMessage 字符串(见注释3),恭喜你,你找到了一个存在的表. columnErrorMessage 是在UNION查询中使用了和主查询不同的卷数而返回的错误信息.如果表不存在,返回的信息将是表不存在,而不是卷的数目错误. |
||||||||||||
列名猜解 |
需要一个已知的表名和主查询的列的数目:
你可以将上面的例子修改一下(将table改为fieldname),如果表不存在,将会返回一个列不存在的错误信息. |
||||||||||||
绕过登陆 |
用户名: ' OR 1=1%00 (or " OR 1=1%00)
密码: (留空) |
||||||||||||
列名枚举 |
按语 : 此原理已经在JBoss(一个使用Access存在漏洞的.jsp脚本)上测试通过 ,但是不敢保证在其他的环境下同样可用.
通常情况下,如果存在SQL注入漏洞,当你在URL参数后加一个"'"后,你将会得到一些错误信息,例如:
现在你将获得一个新的错误信息,它包含了另一个新的列名.你可以继续像这样枚举其他的表名:
直到获取到所有的表名. |
||||||||||||
与操作系统的交互 |
|||||||||||||
这些函数默认不可用 |
|||||||||||||
安全提示 |
可以通过修改注册表来锁定一些受争议的函数的使用(比如SHELL(),等等...):
它的默认值是2,因此这些函数默认不可用.在下面我将会向你介绍当注册表的值被设置为0的情况. |
||||||||||||
获取当前目录 |
需要一个已知的表名和主查询的列的数目:
|
||||||||||||
执行系统命令 |
SHELL()函数可以用来执行系统命令:
|
||||||||||||
Access的系统表 |
|||||||||||||
这些系统表默认不可访问 |
|||||||||||||
MSysAccessXML |
表中包含的列:
|
||||||||||||
MSysACEs |
表中包含的列:
|
||||||||||||
MSysObjects |
这里可以获得表名:
这条查询可以用来获得数据库中的表名:
|
||||||||||||
Access盲注(这些步骤用来猜解表的内容) | |||||||||||||
第一步:猜解表名 |
你可以使用下面提供的字典来猜解表名.注入查询语句:
在提交注入查询语句后,如果你获得的HTML返回和正常页面一样,则表存在.(因为 "AND 1"对查询没有任何影响). |
||||||||||||
第二步: 猜解列名 |
在指导表名的情况下,使用如下查询:
用和第一步同样的方法判断列是否存在. |
||||||||||||
第三步:猜解内容的行数 |
在进一步的行动中,你必须知道表中内容的行数. 它在下面的查询中将被用作"TAB_LEN"变量:
这里的"X" 是大于0的任意值.可以使用老方法来判断"X"的准确值. |
||||||||||||
第四步:猜解内容的长度 |
你能通过以下语句获取"ATTRIB"列的第一行的内容长度:
可以通过以下语句猜解到 "ATTRIB"列中第二行到第TAB_LEN行的内容的长度 (这里N的值在2和TAB_LEN(在前面已经获得)之间) :
"KKK" 为大于0的任意值,使用ATTRIB<>'valueXXX'的原因是我们必须选择一个特定的行来猜解.我想到的方法是将之前得到的"TOP N"行的值排除掉,然后剩下的行就是正在猜解的行.当然,这里有一个前提"ATTRIB"必须是主键.这里有一个例子:
可以这样获取第一行的所有内容的长度:
然后就可以这样获取第二行的内容的长度(假设A1为表的主键) :
第三行也一样:
很明显,在猜解第一行以后的内容的长度(第2到第TAB_LEN行),你必须得到之前所有行的内容(你需要把它放在WHERE后). |
||||||||||||
第五步:猜解内容 |
假设攻击者已经知道了表和列名,他将使用这样的查询:
"N"是要猜解的行, "XXX"是 "ATTRIBxxx"的第X个字节, "ATT_key"是表的的主键"YYY"是一个0到255之间的数.(它代表着一个字符的ASCII码).这里我们任然要使用前面提到的方法猜解其他行的内容. |
||||||||||||
表名/列名(字典) | |||||||||||||
表名/列名(字典) |
这里是一个小的表/列名样本字典,在猜解中也许用的到:
|