PHP注入MYSQL=SYSTEM权限

2013 年 11 月 25 日3680

  研究了mysql提权的问题后,我们不难想到,如果没有弱口令怎么办呢?暴力破解?太需要运气了!其实结合php注入是很容易搞定的~下面我就用php注入来演示一下,和我一样菜的朋友们注意啦,开始实践啦!

  找到一个站,它的软件下载部分存在php注入漏洞。随便再一个有漏洞的地方加了一个引号,报错了,如图一:

  screen.width-300)this.width=screen.width-300'border='0'alt='ClicktoOpeninNewWindow'>

  得到了网站路径了~,但是我们的目标是得到mysql的密码,而这个密码啦,一般是在config.php里面的。所以我们只需要爆出config.php的内容就好说了!php注入爆文件的内容当然是采用load_file(),可是,load_file需要知道完整的路径,难道我们去猜?当然不,我们先来爆图1报错得到文件名,因为一般这些文件都有这种语句:require(“包含的php文件的路径”),而这个一般都会有包括config.php的。好,看我来做:

  要用load_file()当然得用union了,猜字段这种事情很枯燥的,我们可以利用一些辅助工具(当然如果你有casi4.0这种极品工具就更好了,但是穷人用不起啊!)。我介绍一个我用的工具PHPSend.exe,猜字段数目的好工具!使用也很简单!利用他,我得到了字段数目,如图2:

  screen.width-300)this.width=screen.width-300'border='0'alt='ClicktoOpeninNewWindow'>

  19个字段,其中第12个字段对应图1

  中的简介位置,好,我们开始报global.php的路径,先把绝对路径转化为16进制形式,同时考虑到是爆php文件的内容,为了避免php执行后,无法全部显示所有文件内容,我们把中的“?”替换为?A HREF="mailto:@”,就可以全部显示了!如何替换?我们用这个:replace(load_file(0x绝对路径16进制值),0x3F,0x40)

  ">@”,就可以全部显示了!如何替换?我们用这个:replace(load_file(0x绝对路径16进制值),0x3F,0x40)

  注:0x3F对应“?”,0x40对应?A HREF="mailto:@”。我们提交:">@”。我们提交:

  http://http://www.zjjv.com///study/show.php?id=244and target=_blank>http://http://www.zjjv.com///study/show.php?id=244">http://http://www.zjjv.com///study/show.php?id=244and1=2uni

0 0