access偏移注入
记录总结偏移注入的使用方法。
为什么要用偏移注入
偏移注入是access比较独有的一种注入手段,很有特点(人品。。)的注入方式,一般用于在猜出了表名但是没有猜出列名的情况下使用。偏移注入的使用
- 目前猜测出了表名,但是怎么都猜不出列名,使用联合查询法来进行偏移注入。
- 接下来测出偏移量,其实这个偏移量就是admin这张表的列的个数。直接将22改成*号,测试是否回显正常,不正常就一直往前减,一直减少到回显正常为止。
这里运气比较好,直接就爆出了密码(听说是随机的=。=但是不知道要怎么确认真实性),但是还没有用户名呢,那么接下来可以打乱顺序来重置爆出来的结果,这里可以使用下列方法来进行完成。
从图中可以看出已经爆出了用户名为admin了。 - 简单说下语句,
UNION SELECT 1,2,3,* from (admin as a inner join admin as b on a.id=b.id),首先为什么从union select 1,2,3,4,5,6,* from变成了1,2,3,*呢,是这样推导出来的。- order by 9代表有9个回显点
- 1,2,3,4,5,6,*代表admin表的字段数只有3个
- admin表变成了(admin as a inner join admin as b on a.id=b.id),这里是将admin重命名为了a和b两张表,然后通过inner join 将a表和b表的id相同字段展示出来,a表和b表本来都是admin表,所以id肯定都是相同的(这里要提醒一下,id这个字段可以换成其它字段,但是一定得存在,一般admin表中都存在id字段的),这样做的目的就是可以打乱顺序来爆出其它字段
- 但是由于增加了一张表,所以字段数得再减少一个*号的长度,所以就从6变成了3。
- 但是这样爆东西非常有随机性,如果表的字段比较多,而这个显示位又比较少的话,是很有可能爆不出自己想要的东西的。我们接下来介绍一些其它的技巧。
偏移注入的进阶
-
我们来看一下这样的一个站点,同样通过order by 和union select找到了表为admin,但是还是扫不出列名,这次回显点有22个。
- 一次一次的测试admin的列的个数,最终长度为6,而且这次什么都没爆出来。
- 开始偏移注入,爆出的结果却是时间。
- 此时可以增加a.id或者b.id或者a.id和b.id一起加上去来打乱随机的顺序,时间确实换了,但是又不是我们想要的,这只是一个数字,可能是id值之类的吧。
- 别灰心,继续来看,骚东西来了,查看网页的源代码,会有隐藏的惊喜。。。
我们发现这里有隐藏起来的回显点,爆出来了用户名为admin,但是还没有密码。 - 增加表的个数,修改代码,
UNION SELECT 1,2,3,4,* from ((admin as a inner join admin as b on a.id=b.id) inner join admin as c on a.id=c.id),查看源代码,成功拿到用户名和密码了。