在掌握了MySQL的基本操作之后,在本篇博文中将介绍如何进行手工PHP注入。目标网站仍然采用NPMserv搭建,软件下载地址:http://down.51cto.com/data/1886128。
首先随便打开一个页面,利用and 1=1和and 1=2判断是否存在注入点。
然后利用order by推断字段数量,这里推断出有5个字段。
接下来执行语句“union select 1,2,3,4,5”爆出2、3字段可以调用参数。
以上操作与ASP手工注入方法基本相同,不熟悉的朋友可以参考博文http://yttitan.blog.51cto.com/70821/1560917。
下面就要开始用到MySQL的一些查询操作了。
(1) 爆基本信息
首先我们来爆出当前用户名和数据库名。
查当前用户的参数是user(),查当前数据库的参数是database(),将两个参数代入到2、3字段中:
union select 1,user(),database(),4,5
成功爆出用户名root,当前数据库名govcn
再接着爆数据库版本和操作系统版本
查数据库版本的参数是version(),查操作系统版本的参数是@@version_compile_os,将这2个参数也代入2、3字段:
union select 1,version(),@@version_compile_os,4,5
成功爆出数据库版本为5.1.35,操作系统版本为Win32。
(2) 爆出所有的数据库名
下面就要借助于information_schema数据库来爆出我们关心的敏感信息。
首先爆出系统中都存在哪些数据库:
union select 1,schema_name,3,4,5 from information_schema.schemata
information_schema是MySQL5以后的版本中默认自带的一个数据库,它里面存放了由用户在MySQL中创建的所有其它数据库的信息。information_schema数据库中默认有一个名为schemata的表,用于存放其它数据库的名字。所以上面那个查询语句的作用就是从information_schema数据库的schemata表中查询出所有数据库的名字。
这里爆出共有4个数据库:
Information_schema和mysql都是MySQL中自带的数据库,因而我们关心的就是剩余的那两个库:blog和govcn,这其中比较重要的应该是govcn,再加上之前我们已经爆出当前库就是它,所以下面自然将它列为重点目标了。
(3)爆表名
下面我们要爆出govcn数据库中都有哪些表。MySQL中所有数据库的表的信息都统一存放在information_schema数据库的tables表中,从这个表中就可以查出govcn数据库中包含哪些表。
union select 1,table_name,3,4,5 from information_schema.tables where table_schema=’govcn’
成功爆出govcn数据库中所有的表,很明显其中最重要的是admin表。
(4)爆字段名
接下来需要知道admin表中都包含哪些字段。所有数据库的所有表中的所有字段都存放在information_schema数据库中的columns表中。
union select 1,column_name,3,4,5 from information_schema.columns where table_name=’admin’
成功爆出admin表中共有2个字段:
(5)爆用户名和密码
最后一步就是需要查出在admin表中的username字段和password字段都存放了哪些数据,也就是网站的用户名和密码了。
union select 1,username,password,4,5 from admin
这里执行会出现错误,原因可能是因为网站编码不一致导致的问题,可以利用unhex(hex())函数进行编码转换:
union select 1,unhex(hex(username)),unhex(hex(password)),4 from admin
然后就成功爆出用户名admin,以及md5加密后的密码:
再接下来的工作就简单了:破解密码->登录后台->上传WebShell->提权。这里就不再重复了。
本文转自 yttitan 51CTO博客,原文链接:http://blog.51cto.com/yttitan/1570821
