网络安全系列之二十 手工SQL注入（PHP）

bdjhx

　　在掌握了MySQL的基本操作之后，在本篇博文中将介绍如何进行手工PHP注入。目标网站仍然采用NPMserv搭建，软件下载地址：http://down.51cto.com/data/1886128。
　　首先随便打开一个页面，利用and 1=1和and 1=2判断是否存在注入点。
　　然后利用order by推断字段数量，这里推断出有5个字段。
　　接下来执行语句“union select 1,2,3,4,5”爆出2、3字段可以调用参数。
　　以上操作与ASP手工注入方法基本相同，不熟悉的朋友可以参考博文http://yttitan.blog.51cto.com/70821/1560917。
　　下面就要开始用到MySQL的一些查询操作了。
　　（1） 爆基本信息
　　首先我们来爆出当前用户名和数据库名。
　　查当前用户的参数是user()，查当前数据库的参数是database()，将两个参数代入到2、3字段中：
　　union select 1,user(),database(),4,5
　　成功爆出用户名root，当前数据库名govcn

　　再接着爆数据库版本和操作系统版本
　　查数据库版本的参数是version()，查操作系统版本的参数是@@version_compile_os，将这2个参数也代入2、3字段：
　　union select 1,version(),@@version_compile_os,4,5
　　成功爆出数据库版本为5.1.35，操作系统版本为Win32。
　　（2） 爆出所有的数据库名
　　下面就要借助于information_schema数据库来爆出我们关心的敏感信息。
　　首先爆出系统中都存在哪些数据库：
　　union select 1,schema_name,3,4,5 from information_schema.schemata
　　information_schema是MySQL5以后的版本中默认自带的一个数据库，它里面存放了由用户在MySQL中创建的所有其它数据库的信息。information_schema数据库中默认有一个名为schemata的表，用于存放其它数据库的名字。所以上面那个查询语句的作用就是从information_schema数据库的schemata表中查询出所有数据库的名字。
　　这里爆出共有4个数据库：

　　Information_schema和mysql都是MySQL中自带的数据库，因而我们关心的就是剩余的那两个库：blog和govcn，这其中比较重要的应该是govcn，再加上之前我们已经爆出当前库就是它，所以下面自然将它列为重点目标了。
　　（3）爆表名
　　下面我们要爆出govcn数据库中都有哪些表。MySQL中所有数据库的表的信息都统一存放在information_schema数据库的tables表中，从这个表中就可以查出govcn数据库中包含哪些表。
　　union select 1,table_name,3,4,5 from information_schema.tables where table_schema=’govcn’
　　成功爆出govcn数据库中所有的表，很明显其中最重要的是admin表。

　　（4）爆字段名
　　接下来需要知道admin表中都包含哪些字段。所有数据库的所有表中的所有字段都存放在information_schema数据库中的columns表中。
　　union select 1,column_name,3,4,5 from information_schema.columns where table_name=’admin’
　　成功爆出admin表中共有2个字段：

　　（5）爆用户名和密码
　　最后一步就是需要查出在admin表中的username字段和password字段都存放了哪些数据，也就是网站的用户名和密码了。
　　union select 1,username,password,4,5 from admin
　　这里执行会出现错误，原因可能是因为网站编码不一致导致的问题，可以利用unhex(hex())函数进行编码转换：
　　union select 1,unhex(hex(username)),unhex(hex(password)),4 from admin
　　然后就成功爆出用户名admin，以及md5加密后的密码：

　　再接下来的工作就简单了：破解密码->登录后台->上传WebShell->提权。这里就不再重复了。