MySQL UDF

（user defined function）⽤户⾃定义函数

信息收集

1
2
3
4

select verison()；
select user();
select @@basedir;
select @@plugin_dir;

windows

条件：MySQL账号密码，secure_file_priv=""

在 sqlmap/data/udf/mysql 目录下，在Windows目录中有32位和64位的dll文件（MySQL位数），文件夹中的dll文件是通过异或编码的，可以使用 sqlmap/extract/cloak.py 进行解码

1

python /sqlmap/extra/cloak/cloak.py -d -i /sqlmap/udf/mysql/windows/64/lib_mysqludf_sys.dll

注意：需要创建.dll文件中存在的函数，可以使用十六进制编辑器打开.dll文件，查看可以被创建的函数。

Mysql Injections

前置

Web

• Spaces：如果未编码，可能表示请求数据的结束
• &: 解释为参数分隔符
• #: 解释为片段标识符

GET请求#和 -- ? (?可以为任意字符) 表示注释，可以使它们后面的语句不被执行，可以使用--%20，把空格转换为urlcode编码格式，同理把#变成%23，也可以注释

POST请求#和--?都能注释后面的语句

schema结构：

• information_schema.schemata：记录数据库信息的表
• information_schema.tables：记录表名信息的表
• information_schema.columns：记录列名信息的表
• schema_name：数据库名
• table_name：表名
• column_name：列名
• table_schema：表的数据库名

联合注入

可以使用 union 语句，且有回显位