大家還記得mssql的跨庫查詢吧，其實在access中也可以實現2個數據之間的交叉查詢。下面我就給大家介紹下access的跨庫查詢。

首先讓我們看看在access里是怎樣實現對mdb文件進行查詢的，我們隨便創建個空數據庫，對數據庫D:\daos\db\daidalos.mdb里的admin表的內容進行查詢，SQL語句為：

查詢后，成功返回目標數據庫里表admin表里的內容：

在實際的asp注射中，要同時進行2個select，如果大家熟悉php+mysql注射的話，應該很容易想到使用union進行聯合查詢，在access里我們照樣可以使用，使用union查詢還有一個好處就是不要去對數據進行一個一個字符的去猜，而可以象mysql+php注射一樣直接暴出字段里的數據（具體的mix已經寫了一篇詳細的文章）。從上面可以看出來要實現跨庫查詢必修要下面2個條件：

條件1我們可以根據提示錯誤信息來手工猜解，也可以通過程序自動實現。

條件2 這個是個難點，不過我們可以通過利用“access暴庫”來實現，有人會說既然可以知道數據位置，那不直接下載得拉，其實不然，現在的數據庫一般防止下載，有的根本不web目錄下。

在黑防第四輪實驗室的第一關，就是設置的2個asp+access的下載系統，一個是雨點下載系統，一個是盜帥下載系統。 經過測試 盜帥下載系統可以暴出數據庫但是不讓下載，似乎也沒什么地方可以注射，而雨點下載系統就是漏洞百出了，數據庫可以暴且可以直接下載，還可以注射。不過雨點的后臺很簡單，沒什么可以利用的地方，我們的目標就放在得到盜帥后臺密碼上了，下面我就給大家演示下，通過雨點系統的注射點對盜帥系統的跨庫查詢而得到盜帥的后臺密碼：

我們得知雨點系統的list.asp可以注射，我們先去要得到union里的數據表字段數，提交：

返回：

字段不對，我寫了個perl腳本自動猜，（代碼見后）

當我們提交：

無錯誤返回：

哈哈！ 我們已經得到字段數了，并且我們可以得到在字段1的我位置，可以顯示我們查詢的數據。

現在還就差盜帥的數據庫位置了，簡單我們暴庫，提交：

成功返回路徑：

（注意：這樣得到的的路徑不一定是“完整”的，真正的路徑為：D:\111\dsdown\db\kljdsld.asa）

下面我們跨庫，構造url如下：

上面的語句是，union查詢數據D:\111\db\kljdsld.asa里表admin里id=1的字段admin的數據，如果成功將直接暴出后臺管理的用戶名：

得到用戶名為admin 我們接著暴密碼：

如圖：

得到密碼為32位的md5加密的hash：77e6cbb3f9468eadb655ae6826357922，我們跨庫查詢成功，這里我只是為大家演示下跨庫查詢，黑防那里就不管咯 : )。

小結

本文主要是給大家介紹了2個非常有用的方法，第1 我們在asp注射時不一頂要一個個字符去猜，那樣遇到中文的很麻煩，直接用union替代數據可以直接暴出數據，不關是中文還是特殊字符，都可以一步到位，第2 就是跨庫了，使用很靈活，可以讓你在滲透時，有意想不到的收獲。