大牛黑客了解的access偏移注入，你真的了解嘛?

接着我们上节课的access数据库注入，今天要讲的就是access偏移注入，这种注入在特殊的情况下才使用的方法，使用这个方法是有几个前提的条件

偏移注入的利用背景

主要解决注入时得不到字段名的困难，因为有的时候，对方的字段是我们字典爆破不出来的，这是因为对方的字段名有可能变成了hack_er_1111等名。那么这个时候，咱们的字典有的时候是爆破不出来，所以我们这里就可以利用我们一般表名常用的字段名，比如说id、user_id等字段名，使用偏移注入进行注入。

偏移注入的特点

、无需账号密码字段注入

、不是100%可以得到管理员账号密码

、成功率受两个条件的影响(

、管理表的字段数越少

、当前注入点脚本查询的表的字段数越多，成功率解决越大，得到的字段名越多越好

利用条件

已知管理表名

已知表下存在的一个字段名(id就可以)

首先是判断当前表的字段数，假设我们已知管理员的表名为admin，那么我们就首先猜一下admin表的字段数，以下我列出两种方法猜字段数

第一种： 判断管理表存在多少个字段数，用*号替代，原本字段数是22，那我们用*号一个一个来测试，测的过程中会出现错误的提示，到了16的时候，返回正常，那么就说明当前admin表的字段数为6。

第二种方法是通过执行sql语句来猜admin表的字段数，那么这里就跟我们一开始猜字段数的方法是一样的，利用order by来猜就行了

那么，我们猜完了管理员表(admin)的字段数之后，那我们接下来就是利用偏移的公式了

减到十六的时候是正常，星号代表的意义是表里面的数目， 2x*=12个字符 因为我们猜列的时候，猜不出东西，我们就可以这样，*代替，教程中减到16才返回正常，然后减去了6个。所以2乘以6=12，然后用一开始的字段数减去乘以的字符，也就是10

然后再用22减去12等于10个字符

那么的话，我们就在22字段位中的10这里写上from (admin as a inner join admin as b on a.id=b.id) 语句中的a.id和b.id的id是我们上面说到的字段名。因为这个字段名是一般表名常用的字段名。然后可以看到图片中的内容中，出现了相对于的年月日期

我们看看是不是数据库的东西，可以看到count_time就是爆出的东西

我们看一下源代码，md5直接爆出来显示在了页面

还有另外几种方法。

一级偏移

因为我们用偏移注入公式算出为10 所以只需要UNION SELECT 1,2,3,4,5,6,7,8,9,10 其中.id为admin表中必须存在的一个字段名

二级偏移注入

字段数再去掉admin表存在的字段数 比如 我order by 爆出 20 admin字段为3 一级偏移 就UNION SELECT 1-14

二级偏移语句

union select 1,2,3,4,a.id,b.id,c.id,* from((admin as a inner join admin as bon a.id=b.id)

inner join admin as c on a.id=c.id)

总结#

偏移注入基本要求

1.至少得知道表名的一个字段

2.总字段数(order by 的结果)小于目标表的字段数*2 （这里也决定了是否可以多级偏移注入）

移位溢注

移位溢注注入公式：order by 出的字段数-表名字段数 http://nfcookie.xxxx.com/mofei_list.asp?id=144 UNION SELECT 1,2,3,4,5,6,admin.* from admin

order by 为9 减去 admin 3个字段 所以UNION SELECT 1-6

子查询：

子查询注入公式：order by 出的字段数 格式 1 as a-z 任意不重复值 from（select 表字段数 from admin where 1=2 union select * from admin）

http://nfcookie.xxxx.com/mofei_list.asp?id=144 UNION SELECT 1 as a,2 as b,Expr1002,4 as d,5 as f,6 as r,7 as qwe,8 as ssd,9 as xxxx from(select 1,2,3 from admin where 1=2 union select * from admin )

那么access数据库注入就暂已告落，想要靶机源码和字典、工具的、学习资料，想学习更多姿势和文章的，可以关注vx公众号：安界网。