对某PHP手机网站的一次安全检测

我们用ASCII转换器进行下转换（如图11）

PHP手机网站的一次安全检测" border="0" onload="return imgzoom(this,550);" style="cursor:pointer;" onclick="javascript:window.open(this.src);"/>

图11

那么构造后的结果就是:

and 1=2 union select13,12,11,load_file

(char(69,58,92,110,101,119,95,115,105,116,101,92,100,97,116,97,92,99,111,110,102,105,103,46,112,104,112)

),9,8,7,6,5,4,3,2,1

返回结果没有报错，证明文件应该已经装载成功，可是怎么没有显示出来那（如图12），

PHP手机网站的一次安全检测" border="0" onload="return imgzoom(this,550);" style="cursor:pointer;" onclick="javascript:window.open(this.src);"/>

图12

难道是哪有错误？想了半天，原来如此，他装载文件的时候是将整个文件完全装载，那么我看到的也就是执行过的PHP的代码，这里我们用右键，查看源文件一下就清楚了（如图13）

PHP手机网站的一次安全检测" border="0" onload="return imgzoom(this,550);" style="cursor:pointer;" onclick="javascript:window.open(this.src);"/>

图13(图片信息为假)

这样我们就得到了他的完整信息，包括数据库的地址、帐户、密码，虽然现在差不多已经成功一半了，可是还有个问题就是ROOT帐户虽然也是超级管理员权限，可是他不能像SQL一样直接执行命令，如果我们像进一步渗透服务器就必须用到MYSQL的提权工具（如图14），来进行权限的提升。

PHP手机网站的一次安全检测" border="0" onload="return imgzoom(this,550);" style="cursor:pointer;" onclick="javascript:window.open(this.src);"/>

图14

可是如何将文件上传上去就又成了问题，用MYSQL QUERY连接上数据库，添加了个管理员帐户，进入到网站后台，可进去后发现，如果不研究源代码是很难找到入口得到webshell的。想了想，既然SQL的数据库可以叉一句话木马然后到处成文件，那么MYSQL是不是也可以那，如果可以，我们只需要在数据库里新建个表，然后在字段里插入PHP一句话，在导出成PHP文件不就可以了吗。