频道栏目
首页 > 安全 > 网站安全 > 正文

PHP注入 MYSQL=SYSTEM权限

2006-12-15 07:56:36      个评论      
收藏   我要投稿

研究了mysql提权的问题后,我们不难想到,如果没有若口令怎么办呢?暴力破解?太需要运气了!其实结合php注入是很容易搞定的~下面我就用php注入来演示一下,和我一样菜的朋友们注意啦,开始实践啦! 

找到一个站,它的软件下载部分存在php注入漏洞。随便再一个有漏洞的地方加了一个引号,报错了,如图一:

得到了网站路径了~,但是我们的目标是得到mysql的密码,而这个密码啦,一般是在config.php里面的。所以我们只需要爆出config.php的内容就好说了!php注入爆文件的内容当然是采用load_file(),可是,load_file需要知道完整的路径,难道我们去猜?当然不,我们先来爆图1报错得到文件名,因为一般这些文件都有这种语句:require(“包含的php文件的路径”),而这个一般都会有包括config.php的。好,看我来做:

中的简介位置,好,我们开始报global.php的路径,先把绝对路径转化为16进制形式,同时考虑到是爆php文件的内容,为了避免php执行后,无法全部显示所有文件内容,我们把<?php……?>中的“?”替换为“@”,就可以全部显示了!如何替换?我们用这个:replace(load_file(0x绝对路径16进制值),0x3F,0x40)

注:0x3F对应“?”,0x40对应“@”。我们提交:

http://xxx.xxx.edu.cn/study/show.php?id=244%20and%201=2%20union%20select%201,2,3,4,5,6,7,8,9,10,11,replace(load_file(0x443A5C……绝对路径),0x3F,0x40),13,14,15,16,17,18,19

看到了config.php的路径了把~。好,我们继续爆它的内容,如图4

看到了吧~,我们得到了mysql的密码!

用mysql里面的工具,mysql.exe来连接对方:

E:mysql>mysql -u root -h 对方的ip –p

好了,下面就简单了,先上传dll文件,这里我们选用sysudf.dll,还是使用那个sysudf.dll.txt的脚本来上传:

Mysql>. E:mysqlsysudf.dll.txt

这里需要注意的是,不同的系统的,请注意路径不一样,如果是2003的系统你最好导出到c:windows这个目录,不然会有爆错的~

这里,只要你的dll文件路径和上一部一致即可。但是要注意,由于mysql的转义了一些字符,所有的路径,都必须用“\”,否则导出讲不成功!

javascript:resizepic(this) border=0>


 javascript:resizepic(this) border=0>


好,这个system权限的shell我们已经拿到(如果你有什么命令输入不对,这个sys_name函数是可以反复执行的,不用担心哦,再来一次就可以了!)。可是任务还没有完成哦~别急着闪人先!我们还没有擦掉痕迹啊!我们为了上传sysudf.dll和nc.exe一共建立了两个临时表:temp1,temp3,我们用drop table 表名;来删除表。然后我们还建立sys_name函数,我们用:drop function sys_name;来删除函数!最后,show tables;来看看有没有清理干净,而select * from func;可以察看mysql里面的所有函数。

相关TAG标签 权限
上一篇:菜鸟教程之cookies欺骗
下一篇:vbs实现sql注入
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站