首页 > 代码库 > 网络安全系列之二十 手工SQL注入(PHP)

网络安全系列之二十 手工SQL注入(PHP)

在掌握了MySQL的基本操作之后,在本篇博文中将介绍如何进行手工PHP注入。目标网站仍然采用NPMserv搭建,软件下载地址:http://down.51cto.com/data/1886128。

首先随便打开一个页面,利用and 1=1和and 1=2判断是否存在注入点。

然后利用order by推断字段数量,这里推断出有5个字段。

接下来执行语句“union select 1,2,3,4,5”爆出2、3字段可以调用参数。

以上操作与ASP手工注入方法基本相同,不熟悉的朋友可以参考博文http://yttitan.blog.51cto.com/70821/1560917。

下面就要开始用到MySQL的一些查询操作了。

 

(1) 爆基本信息

首先我们来爆出当前用户名和数据库名。

查当前用户的参数是user(),查当前数据库的参数是database(),将两个参数代入到2、3字段中:

union select 1,user(),database(),4,5

成功爆出用户名root,当前数据库名govcn

image

再接着爆数据库版本和操作系统版本

查数据库版本的参数是version(),查操作系统版本的参数是@@version_compile_os,将这2个参数也代入2、3字段:

union select 1,version(),@@version_compile_os,4,5

成功爆出数据库版本为5.1.35,操作系统版本为Win32。

 

(2) 爆出所有的数据库名

下面就要借助于information_schema数据库来爆出我们关心的敏感信息。

首先爆出系统中都存在哪些数据库:

union select 1,schema_name,3,4,5 from information_schema.schemata

information_schema是MySQL5以后的版本中默认自带的一个数据库,它里面存放了由用户在MySQL中创建的所有其它数据库的信息。information_schema数据库中默认有一个名为schemata的表,用于存放其它数据库的名字。所以上面那个查询语句的作用就是从information_schema数据库的schemata表中查询出所有数据库的名字。

这里爆出共有4个数据库:

image

Information_schema和mysql都是MySQL中自带的数据库,因而我们关心的就是剩余的那两个库:blog和govcn,这其中比较重要的应该是govcn,再加上之前我们已经爆出当前库就是它,所以下面自然将它列为重点目标了。

 

3)爆表名

下面我们要爆出govcn数据库中都有哪些表。MySQL中所有数据库的表的信息都统一存放在information_schema数据库的tables表中,从这个表中就可以查出govcn数据库中包含哪些表。

union select 1,table_name,3,4,5 from information_schema.tables where table_schema=’govcn’

成功爆出govcn数据库中所有的表,很明显其中最重要的是admin表。

image

 

(4)爆字段名

接下来需要知道admin表中都包含哪些字段。所有数据库的所有表中的所有字段都存放在information_schema数据库中的columns表中。

union select 1,column_name,3,4,5 from information_schema.columns where table_name=’admin’

成功爆出admin表中共有2个字段:

image

 

(5)爆用户名和密码

最后一步就是需要查出在admin表中的username字段和password字段都存放了哪些数据,也就是网站的用户名和密码了。

union select 1,username,password,4,5 from admin

这里执行会出现错误,原因可能是因为网站编码不一致导致的问题,可以利用unhex(hex())函数进行编码转换:

union select 1,unhex(hex(username)),unhex(hex(password)),4 from admin

然后就成功爆出用户名admin,以及md5加密后的密码:

image

再接下来的工作就简单了:破解密码->登录后台->上传WebShell->提权。这里就不再重复了。

本文出自 “一壶浊酒” 博客,转载请与作者联系!

网络安全系列之二十 手工SQL注入(PHP)