fatsheep8_5的博客

分析源码，根据SQL注入2可知，此为单引号的闭合，拿下一个库我们可以先知道这个表有多少个字段，明白字段过后我还要知道，当前用户的权限，数据库名，然后可以进一步拿到数据库的表，然后再拿到表中的数据，账户，密码之类的，大概就这么个流程，开始实践： 输入id=1’ and 1=1--+，id=2‘ and 1=2--+，可以很明显的分析出，当1=1为真时，页面会回显出数据，但是当我输入1=2时，页面无任何回显数据，所以此页面肯定存在注入点： 页面正常回显 页面说不知道column‘4’这一列说明

当出现我已经用database（）爆出数据库名字过后，可以用information_schema这个数据库查表面，列名等字段信息。

从上述三个测试步骤说明该页面有SQL注入漏洞 深入剖析：1、大致能猜测到该页面的SQL语句是 select * from users(表名) where id=12、我们能控制输入并且能修改的参数就是id3、这里我们只能把id=35修改成id=1 and 1=1 和id=1 and 1=2带到服务器被数据库引擎都执行成功了4、select * from users（表名) where id=1 and 1=1 返回的结果真，所以就能回显正常内容。

就是通过sql命令插入到web表单递交或输入域名或请求的查询字符串，最终达到欺骗服务器执行恶意代码的过程具体来说，它是利用现有应用程序，将（恶意）的SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。

分析代码：我传入的是一个e=YXNzZXJ0&pass=phpinfo() ，首先我的e是经过了base64的编码，pass=phpinfo（）传入数组=》给了$arr,$arr会将自己的参数传递给解码过后的assert。首先对输入的结果e进行了base64的解码，所以需要我们输入的参数为base64编码过后的值。数组键名（下标）可能会不连续。数组的键名（下标）会维持不变，如果。数组中的每个值，并将每个值传递给。的第二个参数（回调函数）动态执行。参数是索引数组，返回的结果。数组中的当前值返回到结果。

ok，简简单单，出来了md5加密，那我们解密一下ok，破解成功后台shell拿下！试一下刚刚破解的能够登录成功，注入完成！！！仅仅是测试所用，此平台已经更换多个版本，求审稿大哥放我过申。

三种后缀原理和思路都是一样的，直接做一类，这里我们用.jpg的来做，注意：构造图片马的时候一句话木马应该加到图片后面，因为我们看源码可以知道，这个是要检测我们的图片头的，所以加到图片的最后面，就不会被检测，我们先用Windows来复制一个图片马，然后上传实现文件包含。str_ireplace这个函数的工作模式是直接匹配这个字符串中的php字符串，像我们的pphphp中他把"php"匹配走了过后，还是仍然保留的是php所以就是此漏洞形成。，那么攻击者可以通过修改path的值来构造paylod，并且。

1，upload的靶场环境可以去GitHub上自行查找2，打开小皮面板的nginx和数据库3，将文件上传的靶场部署到本地：放到小皮的phpstduy_pro的www下面黑名单没有过滤.htaccess这个后缀名字：直接改后缀名字为.htaccesswindows下文件后缀有空格，有.，有::$DATA会自动去除为修改后缀的大小写，直接上传一个shell.PHP，第六，七，八关分别为用bs抓包，改后缀上传，操作如下，因为步骤相同，这里只展示后缀加空格的操作：第六关第七关第八关

information_schema 是一个非常重要的系统数据库，它在SQL标准中定义，并且被许多关系型数据库管理系统（RDBMS）如MySQL、PostgreSQL等支持。这个库提供了一个访问数据库元数据的方式，即关于数据库本身的数据，包括数据库名、表结构、列属性、访问权限等等。