小菜文章,大N勿喷

--------------------------------------

原创教程
BY :maya663

--------------------------------------

PHP手工注入基础

想学习的看了这篇绝对经典

---------------------------

最近碰到一个站PHP

http://xxx.com/

1.jpeg

http://xxx.com/index.php?id=112

这上注入点

判断依据: and 1=1
and 1=2
你懂的  ASP基本上差不多

手工开始:

直接
order by
语句用于对结果集进行排序

2.jpeg

最终结果查询到值为1

了解几个函数

User() 返加当前用户

Database() 返回当前数据库

Version()
返回Mysql 版本( 这个很重要 )

Mysql 版本>=4.0 支持Union 查询
Mysql >=5.0
支持 information_schema 查询

3.jpeg

4.jpeg

5.jpeg

6.jpeg

基本信息己经获得下面进行获得表名与字段名

好多教程写到表名是

Admin
administrator
Manager
User
Users

但是成功数很少,为什么等一会看个Mysql数据库就可以了

7.jpeg

这是Mysql数据库的表名

如果猜的话,累死你你也猜不到

原理如下:

下面要提一下这个数据库

8.jpeg

这个是mysql 版本为5.0的时,自动安装的的一个数据库

information_schema官方 访问数据库元数据的方式。元数据是关于数据的数据,如数据库名或表名,列的数据类型,或访问权限等。

我的理解:在使用mysql 数据库新建数据库时,会自动在information_schema数据库记录新建那些数据库表与字段的记录

9.jpeg

表的名字

10.jpeg

表的字段

原理清楚之后开始动手构造语句

这句话 分析一下,查库中第一表的名字

Select group_concat(table_name) from information_schema.tables where table_schema= 0x7A73323236315F646220(hex
zs2261_db)

这句话 分析一下,以组的方式查库中的表的名字

11.jpeg

同样的方法查字段

12.jpeg

最后查出表名与字段名,查询

13.jpeg

14.jpeg

Md5查询破解登陆后台

15.jpeg

在后台上传文件没有做限制,直接上传aspx 类于型文件

155.jpeg

有执行的权限

16.jpeg

内网IP地址

17.jpeg

在提权过程中用烤肉和PR提权不成功

18.jpeg

估计打了补丁

陷入的将局中,于是查看管理员,看了一下了

19.jpeg

发现几个管理员,通过IISSPY发现一个用户的密码,于是….

20.jpeg

转发端口,连接成功

21.jpeg

22.jpeg

23.jpeg

后记:在提权过程中,没有直接提权成功,而是获得IISSPY获得具管理员权限账号与密码

          运气有很大一部分

BY : maya66