Access数据库SQL注入小结
这里总结一下学到的Access数据库注入的知识点,参考文章如下:
实战access偏移注入
整理比较全的Access SQL注入参考
SQL Injection for Microsoft Access
一、Access数据库结构
Access中包含以下系统表
MSysAccessXML、MSysAces、MSysImexColumns、MSysObjects、MSysQueries、MSysRelationShips
是微软自带的。其中,MSysObjects表中包含了所有数据库对象。但遗憾的是,Access数据库默认不允许访问这些表。
二、Access盲注步骤
2.0 判断是否存在注入
首先,当然用单引号了,但现在一般情况下,目标程序都会过滤单引号。
如果注入点本身是数值型,可以改用1=1、1=2或len、chr等函数。
2.1 判断数据库类型
首先,必须知道目标数据库的类型。
2.1.1 方法1
在地址栏上显示的连接所带的参数后面加些特殊符号,看它的报错信息,如
http://www.**.com?id=1’
则回返回错误,如果是Microsoft JET Database Engine错误’80040e14’的话,则说明网站所用的数据库是Access数据库。
2.1.2 方法2
利用SQL和ACCESS的系统表的结构,如下
http://wwww.***.com?id=1 and (select count(*) from sysobjects)>0 //sysobjects 是SQL表
http://www.***.com/id=1 and (select count(*) from msysobjects)>0//msysobjects 是access
如果加sysobjects的SQL语句后,网页显示正常,
加msysobject的SQL语句后,网站显示不正常,则说明用的是SQLServer数据库。
如果加sysobjects和加msysobjects的SQL语句后,网页显示都不正常,或者加msysobject后的网页显示正常,则说明是ACCESS数据库。
但首先得允许访问系统表。
2.1.3 方法3
如果目标数据库同时支持len函数和chr函数,且不支持length和char函数,则很可能是Access数据库。在不返回报错信息的情况下,这种方式是我最常用的。
2.2 确定当前查询的列数
只有知道当前查询语句的字段数,才能保证之后的union注入能够字段对齐。方法与其他数据库一样,可以采用order by方式,即
id=1 order by x
x是数字,并逐渐递增。
当页面返回错误时,则(x-1)即为当前查询的字段数。
2.3 猜解表名
由于Access数据库的系统表默认不可访问,故不能像Mysql数据库一样,通过注系统表来获得表名和列名。这也是Access数据库比较难注入的一个原因,只要表名、列名够变态,有注入点也很难注出结果。
2.3.1 方法1-系统表
当然,如果有系统表的话,直接注是最好的。
UNION SELECT Name, NULL, NULL, NULL, NULL from MSysObjects WHERE Type=1