表确实不好搞，不像ASP可能直接暴出来，PHP到现在还是暴不出来的，我们一般有两个办法：

　　1、靠经验猜：比如大家常用的admin,user,news,vote,wenzhang,guanliyuan等等，没办法的事。。

　　2、暴代码查看：用Load_file暴出文件代码，就可以看到数据插值到什么表，什么字段了，这样就很明白了，但是load_file也很有技巧的。。以后再讲。。

　　--------------------------------------------

　　具体说一下吧：

　　1、这个没什么好说的，直接猜就可以了，比如你看到一个注射点，类似news.php?id=1这样的点，你用union查询得到具体的字段，比如这样：news.php?id=1 and 1=2 union select 1,2,3,4 是成立的，

　　你就可以这样猜：news.php?id=1 and 1=2 union select 1,2,3,4 from admin/*如果存在admin表，就会返回真，否则就不存在表admin，其他和这个一样的。

　　2、这个就有点终极了，比如你得到他的绝对路径，可以load_file(file path)出文件的代码，比如你暴得管理员登陆的页面，就能看到他其中的SQL语句，可以看到他是从哪个表了取的值了，是吧》》

　　原理就是这样的，多多思考，有什么心得，希望能分享。。。。

　　第四讲：有无引号的差别

　　很多朋友都对那个引号的作用不很了解,认为加引号和不加是一样的效果..

　　引号(包括单、双)对我们的注射是有着很大的影响的，这里主要还是和magic的状态有关，当这个magic为off的时候倒没什么影响，当这个magic为on的时候就大不一样了。。

　　小知识：magic为on时，为自动为我们提交的单引号(‘)，双引号(“)，(\)，空格( )等加上转意 符号\，使得上的都变成(\’)，(\”)，(\\)等，这就给我们注射太来麻烦，例子如下。

　　一、第一个例子(没引号)

　　如果语句如下：

　　QUOTE:

　　select * from news where newsid=$id

　　1、magic为off时情况

　　为off时不会处理我们提交的数据信息，假设一个SQL语句是这样的;

　　我们在URL中可以提交$id的值，就像我们前面说的给$id为：

　　$id=1 union select 1,2,3,4 from admin

　　就基本上可以取得我们想要的数据了。

　　2、magic为on时情况

　　这时没什么区别，因为我们没有提交敏感的字符

　　二、第二个例子看它处理的SQL语句：

　　QUOTE:

　　select * from news where newsid=$id

　　这时要想成功利用$id这个没过滤的参数，我们可以提交如下：

　　$id=1’ union select 1,2,3,4 from admin/*

　　开始要有一个()来闭合前面的，后面再加一个/*注释掉后面的

　　1、magic为off时情况

　　如果magic为off，我们可以直接提交，成功利用

　　2、magic为on时情况

　　如果magic为on，那么我们提交的语句变成：

　　$id=1\’ union select 1,2,3,4 from admin/*

　　看，就没办法利用了(尽管有漏洞)

上一页  [1] [2]