大家還記得mssql的跨庫查詢吧，其實(shí)在access中也可以實(shí)現(xiàn)2個(gè)數(shù)據(jù)之間的交叉查詢。下面我就給大家介紹下access的跨庫查詢。

首先讓我們看看在access里是怎樣實(shí)現(xiàn)對(duì)mdb文件進(jìn)行查詢的，我們隨便創(chuàng)建個(gè)空數(shù)據(jù)庫，對(duì)數(shù)據(jù)庫D:\daos\db\daidalos.mdb里的admin表的內(nèi)容進(jìn)行查詢，SQL語句為：

查詢后，成功返回目標(biāo)數(shù)據(jù)庫里表admin表里的內(nèi)容：

在實(shí)際的asp注射中，要同時(shí)進(jìn)行2個(gè)select，如果大家熟悉php+mysql注射的話，應(yīng)該很容易想到使用union進(jìn)行聯(lián)合查詢，在access里我們照樣可以使用，使用union查詢還有一個(gè)好處就是不要去對(duì)數(shù)據(jù)進(jìn)行一個(gè)一個(gè)字符的去猜，而可以象mysql+php注射一樣直接暴出字段里的數(shù)據(jù)（具體的mix已經(jīng)寫了一篇詳細(xì)的文章）。從上面可以看出來要實(shí)現(xiàn)跨庫查詢必修要下面2個(gè)條件：

條件1我們可以根據(jù)提示錯(cuò)誤信息來手工猜解，也可以通過程序自動(dòng)實(shí)現(xiàn)。

條件2 這個(gè)是個(gè)難點(diǎn)，不過我們可以通過利用“access暴庫”來實(shí)現(xiàn)，有人會(huì)說既然可以知道數(shù)據(jù)位置，那不直接下載得拉，其實(shí)不然，現(xiàn)在的數(shù)據(jù)庫一般防止下載，有的根本不web目錄下。

在黑防第四輪實(shí)驗(yàn)室的第一關(guān)，就是設(shè)置的2個(gè)asp+access的下載系統(tǒng)，一個(gè)是雨點(diǎn)下載系統(tǒng)，一個(gè)是盜帥下載系統(tǒng)。 經(jīng)過測(cè)試 盜帥下載系統(tǒng)可以暴出數(shù)據(jù)庫但是不讓下載，似乎也沒什么地方可以注射，而雨點(diǎn)下載系統(tǒng)就是漏洞百出了，數(shù)據(jù)庫可以暴且可以直接下載，還可以注射。不過雨點(diǎn)的后臺(tái)很簡(jiǎn)單，沒什么可以利用的地方，我們的目標(biāo)就放在得到盜帥后臺(tái)密碼上了，下面我就給大家演示下，通過雨點(diǎn)系統(tǒng)的注射點(diǎn)對(duì)盜帥系統(tǒng)的跨庫查詢而得到盜帥的后臺(tái)密碼：

我們得知雨點(diǎn)系統(tǒng)的list.asp可以注射，我們先去要得到union里的數(shù)據(jù)表字段數(shù)，提交：

返回：

字段不對(duì)，我寫了個(gè)perl腳本自動(dòng)猜，（代碼見后）

當(dāng)我們提交：

無錯(cuò)誤返回：

哈哈！ 我們已經(jīng)得到字段數(shù)了，并且我們可以得到在字段1的我位置，可以顯示我們查詢的數(shù)據(jù)。

現(xiàn)在還就差盜帥的數(shù)據(jù)庫位置了，簡(jiǎn)單我們暴庫，提交：

成功返回路徑：

（注意：這樣得到的的路徑不一定是“完整”的，真正的路徑為：D:\111\dsdown\db\kljdsld.asa）

下面我們跨庫，構(gòu)造url如下：

上面的語句是，union查詢數(shù)據(jù)D:\111\db\kljdsld.asa里表admin里id=1的字段admin的數(shù)據(jù)，如果成功將直接暴出后臺(tái)管理的用戶名：

得到用戶名為admin 我們接著暴密碼：

如圖：

得到密碼為32位的md5加密的hash：77e6cbb3f9468eadb655ae6826357922，我們跨庫查詢成功，這里我只是為大家演示下跨庫查詢，黑防那里就不管咯 : )。

小結(jié)

本文主要是給大家介紹了2個(gè)非常有用的方法，第1 我們?cè)赼sp注射時(shí)不一頂要一個(gè)個(gè)字符去猜，那樣遇到中文的很麻煩，直接用union替代數(shù)據(jù)可以直接暴出數(shù)據(jù)，不關(guān)是中文還是特殊字符，都可以一步到位，第2 就是跨庫了，使用很靈活，可以讓你在滲透時(shí)，有意想不到的收獲。