因?yàn)榉祷卣Ｕf(shuō)明存在該表，返回錯(cuò)誤則不存在。 經(jīng)過半天的猜解解，確定列名為“pas”“us”“id”，把相應(yīng)的列名對(duì)應(yīng)上面的相應(yīng)的數(shù)字，數(shù)字部分就會(huì)出現(xiàn)我們想要的的東西了。語(yǔ)句是這樣的，上面顯示的數(shù)字為2、3我們這里替換2、3為“pas”和“us”
id=29/**/and/**/1=2/**/union/**/select/**/1,pas,us,4/**/from/**/admin，這樣在2、3部分就會(huì)出現(xiàn)帳號(hào)和密碼了。

另外PHP注射如果在權(quán)限夠的情況下是可以讀到目標(biāo)網(wǎng)站的的源文件，可以去讀一些類似CONN的文件取得敏感信息。現(xiàn)在來(lái)判斷下這個(gè)注射點(diǎn)有沒有權(quán)限讀文件

http://.ouou.com/newslook.php?id=29【/**/and/**/(select/**/count(*)/**/from/**/mysql.user)>0 /*】如圖6



返回正常說(shuō)明有權(quán)限讀文件，現(xiàn)在可以調(diào)用load_file的函數(shù)來(lái)讀文件了，還記剛才【’】爆出的絕對(duì)路徑吧。直接讀就可以了，不過要把路徑轉(zhuǎn)換成hex編碼，為什么呢？因?yàn)槟承┳址趗rl會(huì)被轉(zhuǎn)意比如\會(huì)被轉(zhuǎn)意成/，既然試UNIX主機(jī)嘗試讀一下/etc/passwd 繼續(xù)http://XX.ouou.com/newslook.php?id=29【/**/and/**/1=2/**/union/**/select/**/1,2,load_file(0x2F6574632F706173737764),4】

load_file(0x2F6574632F706173737764)替換3的位置，如果可以讀3的位置會(huì)出現(xiàn)文件內(nèi)容，如圖7



看到了吧，可以讀出來(lái)：）?！?x2F6574632F706173737764】是/etc/passwd的hex編碼，接下來(lái)就是要去網(wǎng)站源文件然后去頂部找調(diào)用數(shù)據(jù)庫(kù)的文件然后再讀數(shù)據(jù)庫(kù)文件找到mysql密碼，這個(gè)我就不說(shuō)了，因?yàn)槲乙呀?jīng)得到了 admin的密碼 并且知道后臺(tái)為http://XXouou.com/admin 直接登陸后臺(tái)先拿個(gè)WEBSHELL再說(shuō) 如圖8



登陸后臺(tái)發(fā)現(xiàn)權(quán)限非常大，可以直接看到跟目錄的文件，并且我們看到“重命名”“編輯”“刪除”等字樣。 但是這里并不可以利用，因?yàn)橐痪庉嬀蜁?huì)提示你輸入另一個(gè)密碼。 另外我發(fā)現(xiàn)網(wǎng)站后臺(tái)使用了FCKeditor編輯器。并且可以成功上傳一個(gè)asa的文件。但是我們知道apache 是不解吸ASP文件的。所以就沒有辦法，只能尋找可以上傳PHP的地方。

記的剛登陸后臺(tái)后臺(tái)的時(shí)候看到跟目錄那里有個(gè)上傳目錄，嘗試上傳一個(gè)PHP發(fā)現(xiàn)提示更新成功，馬上訪問發(fā)現(xiàn)存在那個(gè)PHP文件。如圖9





圖10

至此我們已經(jīng)成功的拿到了WEBSHELL 并且也找到了MYSQL密碼。 發(fā)現(xiàn)WEBSHELL的權(quán)限非常大，至于提權(quán)就不需要了。馬上通知朋友修補(bǔ)漏洞咯。