mysql注入普遍思路

1.  and 1=1   and 1=2 判断

2.  是否支持 order by  爆出显示位

3.  显示位上查重要信息 ，user() 、version()、 database()、构造语法查询表

4. 根据以上信息看 权限  如查 是 root    mysql5.0以上 ，即有读写权限

5. 如是root 想要读写，则需要  1、绝对路径   2、可以读写 （因有两个开关，关系到是否可以读写）

6. 如何找绝对路径：1.报错显示  2.谷哥hack搜索  site:网址 关键字（warning  error 后台管理--后台内可有能路径 等）

                          3.扫描软件进行扫描目录 御剑 穿山甲 萝卜 等  还有漏洞扫描：Netsparker   /   Acunetix web

                          4.在网址后或网址不同目录后，试探手工访问关键文件  如：php.php   phpinfo.php   info.php等

7.旁注

mysql注入普遍思路

标签：data   漏洞   use   文件   ase   网址   搜索   语法   mysq